本文介绍RAM策略编辑器的使用方法。
地址
使用
RAM授权策略由若干条规则组成。使用RAM策略编辑器,可以在界面上逐条添加或删除规则,并自动生成策略的JSON文本。添加所有规则后,只需要将JSON文本拷贝并粘贴到访问控制(RAM)控制台的创建授权策略内容框内即可使用。具体操作,请参见创建自定义权限策略。
RAM策略编辑器中,每条规则需要设置其Effect、Actions、Resources和Conditions:
Effect
指定这条规则是允许访问(Allow)还是禁止访问(Deny)。
Actions
指定访问资源的动作,可以选择多项。一般来说用户使用提供的通配动作就足够了:
oss:*表示允许所有动作。oss:Get*表示允许所有的读动作。oss:Put*表示允许所有的写动作。
更多信息,请参见RAM Policy Editor README。
Resources
指定授权访问的OSS的资源,可以指定多个。Resources常见场景如下:
表示某个Bucket:
my-bucket(此时对bucket下的文件没有权限)表示某个Bucket下面所有文件:
my-bucket/*(此时对bucket本身没有权限,例如ListObjects)表示某个Bucket下某个目录:
my-bucket/dir(此时对dir/下面的文件没有权限)表示某个Bucket下某个目录下面所有文件:
my-bucket/dir/*(此时对dir没有权限,例如ListObjects)填写完整的资源路径:
acs:oss:*:174649585760xxxx:my-bucket/dir,其中174649585760xxxx为用户的UID(可在控制台查看)
EnablePath
当您需要对某个目录授权时,往往还需要保证对上一层目录也有List权限,例如对
my-bucket/users/dir/*赋予读写权限,为了在控制台(或其他工具)能够查看这个目录,还需要以下权限:ListObjects my-bucket ListObjects my-bucket/users ListObjects my-bucket/users/dir勾选EnablePath选项时,会自动添加以上权限。
Conditions
指定授权访问时应该满足的条件,可以指定多个。
示例
授权对my-bucket及其文件所有权限示例如下:
