AnalyticDBPostgreSQL有哪些为RAM权限策略定义的操作,资源和条件_云原生数据仓库 AnalyticDB PostgreSQL版(AnalyticDB for PostgreSQL)-阿里云帮助中心

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。

本文为您介绍云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）的RAM代码（RamCode）为gpdb，支持的授权粒度为RESOURCE。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源ARN来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的API接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作
gpdb:AllocateInstancePublicConnection	AllocateInstancePublicConnection	Write	全部资源 *	无	无
gpdb:CheckServiceLinkedRole	CheckServiceLinkedRole	Read	全部资源 *	无	无
gpdb:CreateAccount	CreateAccount	Write	全部资源 *	无	无
gpdb:CreateCollection	CreateCollection	Write	全部资源 *	无	无
gpdb:CreateDBInstance	CreateDBInstance	Write	DBInstance acs:gpdb:{#regionId}:{#accountId}:dbinstance/*	gpdb:EncryptionType gpdb:EnableSSL	无
gpdb:CreateDBInstancePlan	CreateDBInstancePlan	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:CreateDocumentCollection	CreateDocumentCollection	Write	Collection acs:gpdb:{#regionId}:{#accountId}:collection/{#DBInstanceId}	无	无
gpdb:CreateNamespace	CreateNamespace	Write	全部资源 *	无	无
gpdb:CreateSampleData	CreateSampleData	Read	全部资源 *	无	无
gpdb:CreateServiceLinkedRole	CreateServiceLinkedRole	Write	全部资源 *	无	无
gpdb:CreateVectorIndex	CreateVectorIndex	Write	全部资源 *	无	无
gpdb:DeleteCollection	DeleteCollection	Write	全部资源 *	无	无
gpdb:DeleteCollectionData	DeleteCollectionData	Write	全部资源 *	无	无
gpdb:DeleteDBInstance	DeleteDBInstance	Write	全部资源 *	无	无
gpdb:DeleteDBInstancePlan	DeleteDBInstancePlan	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DeleteDocument	DeleteDocument	Write	Document acs:gpdb:{#regionId}:{#accountId}:document/{#DBInstanceId}	无	无
gpdb:DeleteNamespace	DeleteNamespace	Write	全部资源 *	无	无
gpdb:DeleteVectorIndex	DeleteVectorIndex	Write	全部资源 *	无	无
gpdb:DescribeAccounts	DescribeAccounts	Read	全部资源 *	无	无
gpdb:DescribeActiveSQLRecords	DescribeActiveSQLRecords	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DescribeAvailableResources	DescribeAvailableResources	Read	全部资源 *	无	无
gpdb:DescribeBackupPolicy	DescribeBackupPolicy	Read	全部资源 *	无	无
gpdb:DescribeCollection	DescribeCollection	Write	全部资源 *	无	无
gpdb:DescribeDBClusterNode	DescribeDBClusterNode	Read	全部资源 *	无	无
gpdb:DescribeDBClusterPerformance	DescribeDBClusterPerformance	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceAttribute	DescribeDBInstanceAttribute	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceDataBloat	DescribeDBInstanceDataBloat	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceDataSkew	DescribeDBInstanceDataSkew	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceDiagnosisSummary	DescribeDBInstanceDiagnosisSummary	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceIPArrayList	DescribeDBInstanceIPArrayList	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceIndexUsage	DescribeDBInstanceIndexUsage	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceNetInfo	DescribeDBInstanceNetInfo	Read	全部资源 *	无	无
gpdb:DescribeDBInstancePerformance	DescribeDBInstancePerformance	Read	全部资源 *	无	无
gpdb:DescribeDBInstancePlans	DescribeDBInstancePlans	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:DescribeDBInstanceSSL	DescribeDBInstanceSSL	Read	全部资源 *	无	无
gpdb:DescribeDBInstanceSupportMaxPerformance	DescribeDBInstanceSupportMaxPerformance		DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DescribeDBInstances	DescribeDBInstances	Read	全部资源 *	无	无
gpdb:DescribeDataBackups	DescribeDataBackups	Read	全部资源 *	无	无
gpdb:DescribeDataReDistributeInfo	DescribeDataReDistributeInfo	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:DescribeDataShareInstances	DescribeDataShareInstances	Read	全部资源 *	无	无
gpdb:DescribeDataSharePerformance	DescribeDataSharePerformance	Read	全部资源 *	无	无
gpdb:DescribeDiagnosisDimensions	DescribeDiagnosisDimensions	Read	全部资源 *	无	无
gpdb:DescribeDiagnosisMonitorPerformance	DescribeDiagnosisMonitorPerformance	Read	全部资源 *	无	无
gpdb:DescribeDiagnosisRecords	DescribeDiagnosisRecords	Read	全部资源 *	无	无
gpdb:DescribeDiagnosisSQLInfo	DescribeDiagnosisSQLInfo	Read	全部资源 *	无	无
gpdb:DescribeDocument	DescribeDocument	Write	Document acs:gpdb:{#regionId}:{#accountId}:document/{#DBInstanceId}	无	无
gpdb:DescribeDownloadRecords	DescribeDownloadRecords	Read	全部资源 *	无	无
gpdb:DescribeDownloadSQLLogs	DescribeDownloadSQLLogs	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:DescribeHealthStatus	DescribeHealthStatus	Read	全部资源 *	无	无
gpdb:DescribeIMVInfos	DescribeIMVInfos	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DescribeLogBackups	DescribeLogBackups	Read	全部资源 *	无	无
gpdb:DescribeModifyParameterLog	DescribeModifyParameterLog	Read	全部资源 *	无	无
gpdb:DescribeNamespace	DescribeNamespace	Write	全部资源 *	无	无
gpdb:DescribeParameters	DescribeParameters	Read	全部资源 *	无	无
gpdb:DescribeRdsVSwitchs	DescribeRdsVSwitchs	Read	全部资源 *	无	无
gpdb:DescribeRdsVpcs	DescribeRdsVpcs	Read	全部资源 *	无	无
gpdb:DescribeSQLLogCount	DescribeSQLLogCount	Read	全部资源 *	无	无
gpdb:DescribeSQLLogs	DescribeSQLLogs	Read	全部资源 *	无	无
gpdb:DescribeSQLLogsV2	DescribeSQLLogsV2	Read	DBInstance acs:gpdb:{#regionId}:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DescribeSampleData	DescribeSampleData	Read	全部资源 *	无	无
gpdb:DescribeSupportFeatures	DescribeSupportFeatures	Read	全部资源 *	无	无
gpdb:DescribeTags	DescribeTags	Read	DBInstance acs:gpdb:{#regionId}:{#accountId}:dbinstance/*	无	无
gpdb:DescribeUserEncryptionKeyList	DescribeUserEncryptionKeyList	Read	全部资源 *	无	无
gpdb:DescribeWaitingSQLInfo	DescribeWaitingSQLInfo	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DescribeWaitingSQLRecords	DescribeWaitingSQLRecords	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:DownloadDiagnosisRecords	DownloadDiagnosisRecords	Write	全部资源 *	无	无
gpdb:DownloadSQLLogsRecords	DownloadSQLLogsRecords	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:GrantCollection	GrantCollection	Write	全部资源 *	无	无
gpdb:HandleActiveSQLRecord	HandleActiveSQLRecord	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:InitVectorDatabase	InitVectorDatabase	Write	DBInstance acs:gpdb:{#regionId}:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:ListCollections	ListCollections	Write	全部资源 *	无	无
gpdb:ListDocumentCollections	ListDocumentCollections	Write	Collection acs:gpdb:{#regionId}:{#accountId}:collection/{#DBInstanceId}	无	无
gpdb:ListDocuments	ListDocuments	Write	Document acs:gpdb:{#regionId}:{#accountId}:document/{#DBInstanceId}	无	无
gpdb:ListNamespaces	ListNamespaces	Write	全部资源 *	无	无
gpdb:ListTagResources	ListTagResources	Read	全部资源 *	无	无
gpdb:ModifyBackupPolicy	ModifyBackupPolicy	Write	全部资源 *	无	无
gpdb:ModifyDBInstanceConfig	ModifyDBInstanceConfig	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:ModifyDBInstanceConnectionString	ModifyDBInstanceConnectionString	Write	全部资源 *	无	无
gpdb:ModifyDBInstanceDescription	ModifyDBInstanceDescription	Write	全部资源 *	无	无
gpdb:ModifyDBInstanceResourceGroup	ModifyDBInstanceResourceGroup	Write	全部资源 *	无	无
gpdb:ModifyDBInstanceSSL	ModifyDBInstanceSSL	Write	全部资源 *	gpdb:SSLEnabled	无
gpdb:ModifyMasterSpec	ModifyMasterSpec	Write	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:ModifyParameters	ModifyParameters	Write	全部资源 *	无	无
gpdb:ModifySQLCollectorPolicy	ModifySQLCollectorPolicy	Write	全部资源 *	无	无
gpdb:ModifySecurityIps	ModifySecurityIps	Write	全部资源 *	无	无
gpdb:ModifyVectorConfiguration	ModifyVectorConfiguration	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:PauseInstance	PauseInstance	Read	全部资源 *	无	无
gpdb:QueryCollectionData	QueryCollectionData	Write	全部资源 *	无	无
gpdb:QueryContent	QueryContent	Write	Document acs:gpdb:{#regionId}:{#accountId}:document/{#DBInstanceId}	无	无
gpdb:RebalanceDBInstance	RebalanceDBInstance	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:ReleaseInstancePublicConnection	ReleaseInstancePublicConnection	Write	全部资源 *	无	无
gpdb:ResetAccountPassword	ResetAccountPassword	Write	全部资源 *	无	无
gpdb:ResetIMVMonitorData	ResetIMVMonitorData	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#DBInstanceId}	无	无
gpdb:RestartDBInstance	RestartDBInstance	Write	全部资源 *	无	无
gpdb:ResumeInstance	ResumeInstance	Write	全部资源 *	无	无
gpdb:SetDBInstancePlanStatus	SetDBInstancePlanStatus	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:SetDataShareInstance	SetDataShareInstance	Write	全部资源 *	无	无
gpdb:SwitchDBInstanceNetType	SwitchDBInstanceNetType	Write	全部资源 *	无	无
gpdb:TagResources	TagResources	Write	全部资源 *	无	无
gpdb:UnloadSampleData	UnloadSampleData	Read	全部资源 *	无	无
gpdb:UntagResources	UntagResources	Write	全部资源 *	无	无
gpdb:UpdateCollectionDataMetadata	UpdateCollectionDataMetadata	Write	Collection acs:gpdb:{#regionId}:{#accountId}:collection/{#DBInstanceId}	无	无
gpdb:UpdateDBInstancePlan	UpdateDBInstancePlan	Read	DBInstance acs:gpdb:*:{#accountId}:dbinstance/{#dbinstanceId}	无	无
gpdb:UpgradeDBInstance	UpgradeDBInstance	Write	全部资源 *	无	无
gpdb:UpgradeDBVersion	UpgradeDBVersion	Write	全部资源 *	无	无
gpdb:UpsertChunks	UpsertChunks	Write	Document acs:gpdb:{#regionId}:{#accountId}:document/{#DBInstanceId}	无	无
gpdb:UpsertCollectionData	UpsertCollectionData	Write	全部资源 *	无	无

资源（Resource）

下表是云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）定义的资源，这些资源可以在RAM权限策略语句的Resource元素中使用，用来授予对该资源执行具体操作的权限。其中，资源ARN是资源在阿里云上的唯一标识。具体说明如下：

{#}为变量标识，需要您替换为实际值。例如：{#ramcode}需要您替换为实际的云服务RAM代码。
*表示全部。例如：
- {#resourceType}为*时：表示全部资源。
- {#regionId}为*时：表示全部地域。
- {#accountId}为*时：表示全部阿里云账号。

资源类型	资源ARN
DBInstance	acs:gpdb:{#regionId}:{#accountId}:dbinstance/{#DBInstanceId}
ElasticDBInstance	acs:gpdb:{#regionId}:{#accountId}:elasticdbinstance/{#DBInstanceId}
Account	acs:{#ramcode}:{#regionId}:{#accountId}:account/{#DBInstanceId}/{#AccountName}
Document	acs:gpdb:{#regionId}:{#accountId}:instance/{#DBInstanceId}/document/{#Document}
Collection	acs:gpdb:{#regionId}:{#accountId}:instance/{#DBInstanceId}/collection/{#Collection}
DataShare	acs:{#ramcode}:{#regionId}:{#accountId}:datashare/{#RegionId}
Namespace	acs:gpdb:{#regionId}:{#accountId}:instance/{#DBInstanceId}/namespace/{#Namespace}

条件（Condition）

下表是云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）定义的产品级条件关键字，这些条件关键字可以在RAM权限策略语句的Condition元素中使用，用来描述授予权限的条件。以下仅列举产品级的条件关键字，阿里云定义的通用条件关键字也同样适用云原生数据仓库 AnalyticDB PostgreSQL版（GPDB）。

其中，数据类型决定了您可以使用哪些条件运算符将请求中的值与权限策略语句中的值进行比较。您必须使用与数据类型匹配的条件运算符，否则无法匹配策略语句，授权行为无效。数据类型与条件运算符的对应关系，请参见条件操作类型。

条件关键字	描述	类型
gpdb:SSLEnabled	SSL加密状态	String
gpdb:EncryptionType	加密类型。Off：不启用加密；CloudDisk：开通云盘加密，并通过EncryptionKey参数指定密钥	String
gpdb:EnableSSL	是否开启SSL	Boolean

授权信息

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作