访问控制RAM(Resource Access Management)是阿里云提供的集中式访问控制服务,其核心功能主要包括用户身份与授权管理,应用场景可以覆盖企业子账号与分权管理、针对移动App的临时授权管理,和不同组织之间的资源互操作与授权管理。本文介绍如何为RAM用户授予使用CSB的权限。
背景信息
为RAM用户授权
云账号(主账号)可以在RAM控制台创建自定义策略,然后将策略授权给RAM用户。
RAM相关术语
为了方便您更好地使用CSB的访问控制功能,本文提供了以下几个关键术语的介绍。更多关于RAM的术语解释,请参见基本概念。
-
资源(Resource)
资源是云服务呈现给用户与之交互的对象实体的一种抽象。CSB提供了几个类别的资源,每个资源有一个全局的阿里云资源名称(Aliyun Resource Name, ARN),格式为:
acs:<service-name>:<region>:<account-id>:<resource-relative-id>
。各组成部分代表的含义如下:- acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公有云平台。
- service-name:服务名称,CSB的服务名称为csb。
- region:区域信息,填“*”号。
- account-id:阿里云账号ID,例如12345678901****。
- resource-relative-id:CSB资源,${resource-type}/${resource-id}。
示例:名称为
acs:csb:*:*:INSTANCE/10
的资源表示的含义是:ID为10的CSB实例资源。 -
操作(Action)
action规则:csb:${action-name}
示例:
csb:SERVICEGROUP_CREATE
表示“创建服务组”的操作。
规则参考
- 资源规则
资源名 资源规则 系统 acs:csb:$regionid:$accountid:AOSPSYS/* 实例 acs:csb:$regionid:$accountid:INSTANCE/$resourceId 凭证 acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId 服务组 acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId 服务 acs:csb:$regionid:$accountid:SERVICE/$resourceId - 鉴权规则
操作 鉴权规则 AOSPSYS_LIST_CSB acs:csb:$regionid:$accountid:AOSPSYS/* INSTANCE_APPLY_USE acs:csb:$regionid:$accountid:AOSPSYS/* INSTANCE_APPROVE_APPLY_USE acs:csb:$regionid:$accountid:INSTANCE/$resourceId INSTANCE_UPDATE_BASIC_INFO acs:csb:$regionid:$accountid:INSTANCE/$resourceId INSTANCE_VIEW_PERSONNAL_SERVICE_STATISTICS acs:csb:$regionid:$accountid:INSTANCE/$resourceId INSTANCE_VIEW_SERVICE_SUMMARY acs:csb:$regionid:$accountid:INSTANCE/$resourceId CREDENTIALGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId CREDENTIALGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId CREDENTIALGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId SERVICEGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId SERVICEGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId SERVICEGROUP_STARTSTOP acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId SERVICEGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId SERVICE_DELETE acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_MANAGE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_PUBLISH acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId SERVICE_UNORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_UPDATE acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_VIEW_BASIC_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_VIEW_FULL_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_VIEW_ORDER_CALL_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId SERVICE_VIEW_SUMMARY_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId