权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。

权限(Permission)

阿里云使用权限来描述用户、用户组、角色对具体资源的访问能力,下面为您介绍云账号、RAM 用户、资源创建者所拥有的权限:

  • 云账号(资源属主)控制所有权限。
    • 每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
    • 资源属主不一定是资源创建者。例如:一个 RAM 用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
  • RAM 用户(操作员)默认无任何权限。
    • RAM 用户代表的是操作员,其所有操作都需被云账号显式授权。
    • 新建的 RAM 用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和 API 操作资源。
  • 资源创建者(RAM 用户)默认对所创建资源的没有任何权限。
    • RAM 用户被授予创建资源的权限,用户将可以创建资源。
    • RAM 用户默认对所创建资源的没有任何权限,除非资源属主对 RAM 用户有显式的授权。

权限策略(Policy)

权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范,RAM 支持的语言规范请参考:权限策略语法和结构

在 RAM 中,权限策略是一种资源实体,RAM 支持以下两种权限策略:
  • 阿里云管理的系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。
  • 客户管理的自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。

通过为 RAM 用户、用户组或 RAM 角色绑定权限策略,可以获得权限策略中指定的访问权限。详情请参考:为 RAM 用户授权为用户组授权为 RAM 角色授权

为 RAM 主体绑定权限策略

为 RAM 主体授权,指为用户、用户组或角色绑定一个或多个权限策略。

  • 绑定的权限策略可以是系统策略也可以是自定义策略。
  • 如果绑定的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。