文档

自定义授权

自定义授权可以满足用户个性化的授权策略需求,RAM控制台提供了可视化配置和脚本配置两种配置方式。本文为您介绍授权的基本概念、使用场景、基本步骤和授权的语法、示例。

使用场景

由于系统策略的授权粒度比较粗,很多时候并不能满足您的细粒度权限控制的需求,此时可以基于RAM Policy实现自定义授权。

授权操作

您可以在RAM控制台的创建权限策略页面新建自定义权限策略,请参见创建自定义权限策略

可视化配置

选择可视化编辑,配置权限策略。具体操作,请参见通过可视化编辑模式创建自定义权限策略

可视化配置

授权语法

在开始设置前,需要先了解权限策略的基本元素和语法结构,更多信息,请参见权限策略基本元素权限策略语法和结构

以视频直播系统策略AliyunLiveReadOnlyAccess为例:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "live:Describe*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

参数解释如下:

  • Version

    Version定义了Policy的版本,本文档中Version可以固定设置为1。

  • Statement

    通过Statement描述授权语义,其中可以根据业务场景包含多条语义,每条包含对Action、Effect、Resource 和 Condition的描述。每次请求,系统会逐条依次匹配检查,所有匹配成功的Statement会根据Effect的设置不同分为通过(Allow)、禁止(Deny),其中禁止(Deny)的优先。如果匹配成功的都为通过,该条请求即鉴权通过。如果匹配成功有一条禁止,或者没有任何条目匹配成功,该条请求被禁止访问。

  • Action

    直播支持的Action操作与API一一对应,格式为live:API名称,如上面示例的播放操作:live:Describe*,注意多个使用英文逗号分隔。通过指定授权的Action列表,就能组合出想要的权限分组。

    所有可用操作,请参见API概览

  • Resource

    Resource指代的是Live上面的某个具体的资源或者某些资源(支持通配符*),Resource的规则是acs:live:{region}:*。Resource也是一个列表,可以有多个Resource。其中的region字段暂不支持,请设置为*。由于直播现在没有进一步区分资源,故一般建议授权直播时Resource填*

  • Condition

    Condition代表Policy授权的一些条件,对访问来源等进行限制,为可选项。

    支持的条件如下:

    Condition

    功能

    合法取值

    acs:SourceIp

    指定 IP 地址或网段

    普通的IP,支持通配符*

    acs:SecureTransport

    是否是 HTTPS 协议

    true或者false

    acs:MFAPresent

    用户登录时是否使用了多因素认证

    true或者false

    acs:CurrentTime

    指定合法的访问时间(云端接收到请求的时间)

    ISO8601格式,例如:2012-11-11T23:59:59Z

下文示例表示只允许IP来源为192.168.0.1的请求者访问播放接口:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "Live:Describe*",
            "Resource": "*",
            "Effect": "Allow",
            "Condition":
             {
                "IpAddress":
                 {
                    "acs:SourceIp": "192.168.0.1"
                  }
              }
        }
    ]
}

授权示例

根据API概览,可以得到所有对应的Action,进而分组控制权限,以下以OSS授权策略、Live授权策略为例。

  • OSS授权策略

    权限描述:

    • 对指定的Bucket有所有操作权限;

    • 有查看Bucket列表权限。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:*"
          ],
          "Resource": [
            "acs:oss:*:*:$Bucket",
            "acs:oss:*:*:$Bucket/*"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "oss:ListBuckets"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
  • Live 授权策略

    权限描述:

    • 对指定的Live加速域名有所有权限;

    • 有查询Live加速域名的权限。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "live:*",
          "Resource": [
            "acs:cdn:*:$Uid:domain/$DomainName"
          ],
          "Effect": "Allow"
        },
        {
          "Action": "live:Describe*",
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
说明
  • 以上示例中,该API分组下如果增加了新的接口,则需要相应更新Action部分的列表。

  • 各个服务的资源授权策略中使用了如下变量,请您替换为您实际的资源实例名称。

变量说明

  • Uid

    $Uid:云账号 ID,可通过账号中心的基本信息中查询。

  • Bucket

    $Bucket:OSS bucket。

  • Live

    $DomainName:Live加速域名名称。

  • 本页导读 (1)
文档反馈