全部产品
云市场

权限策略

更新时间:2020-02-11 12:36:27

SOFAStack 的权限管理是通过阿里云的访问控制 RAM(Resource Access Management)产品实现的。使用 RAM 可以让您避免与其他用户共享云账号密钥,即 AccessKey(包含 AccessKeyId 和 AccessKeySecret),按需为用户分配最小权限。本文介绍 SOFAStack 在 RAM 中的权限策略。

在 RAM 中,权限策略是用权限策略语法和结构描述的一组权限的集合,可以精确地描述被授权的 Resource(资源集)、Action(操作集)以及授权条件。

说明:目前,SOFAStack 暂未细化资源粒度的权限策略,各资源维度的策略定义将在后续开放。

系统策略

SOFAStack 目前提供两种系统默认的权限策略。

  • AliyunSOFAFullAccess:管理员权限,等同于主账号的权限,被授予该权限的 RAM 用户具有 SOFAStack 中所有资源的操作权限。

    策略定义如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "sofa:*",
    6. "Effect": "Allow",
    7. "Resource": "*"
    8. }
    9. ],
    10. }
  • AliyunSOFAReadOnlyAccess:只读权限。被授予该权限的 RAM 用户仅有通过访问控制台或调用管控 API 读取资源信息的权限。

    策略定义如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": [
    6. "sofa:Get*",
    7. "sofa:List*",
    8. "sofa:Query*",
    9. "sofa:Find*",
    10. "sofa:Exist*",
    11. "sofa:Count*"
    12. ],
    13. "Resource": "*",
    14. "Effect": "Allow"
    15. }
    16. ]
    17. }

系统角色定义

开通 SOFAStack 时默认会添加系统角色 AliyunSofaCafeCasDefaultRole,该角色默认的权限策略(AliyunSofaCafeCasRolePolicy)定义了用于 SOFAStack 产品访问阿里云基础资源的各权限,主要为 ECS、VPC、SLB、OSS、RAM 等,在开通 SOFAStack 时经用户同意取得授权。

AliyunSofaCafeCasRolePolicy 的具体定义请参见 控制台