API参考授权信息_运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。

本文为您介绍运维安全中心（堡垒机）为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。运维安全中心（堡垒机）的RAM代码（RamCode）为 yundun-bastionhost，支持的授权粒度为操作级。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：

        

          
      
        
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源ARN来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是运维安全中心（堡垒机）定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的API接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作

操作	API	访问级别	资源类型	条件关键字	关联操作
yundun-bastionhost:AcceptApproveCommand	AcceptApproveCommand		全部资源 ``	无	无
yundun-bastionhost:AcceptOperationTicket	AcceptOperationTicket	update	全部资源 ``	无	无
yundun-bastionhost:AddDatabasesToGroup	AddDatabasesToGroup		全部资源 ``	无	无
yundun-bastionhost:AddHostsToGroup	AddHostsToGroup	create	全部资源 ``	无	无
yundun-bastionhost:AddUsersToGroup	AddUsersToGroup	create	全部资源 ``	无	无
yundun-bastionhost:AttachDatabaseAccountsToUser	AttachDatabaseAccountsToUser		全部资源 ``	无	无
yundun-bastionhost:AttachDatabaseAccountsToUserGroup	AttachDatabaseAccountsToUserGroup		全部资源 ``	无	无
yundun-bastionhost:AttachHostAccountsToHostShareKey	AttachHostAccountsToHostShareKey	Write	全部资源 ``	无	无
yundun-bastionhost:AttachHostAccountsToUser	AttachHostAccountsToUser	update	全部资源 ``	无	无
yundun-bastionhost:AttachHostAccountsToUserGroup	AttachHostAccountsToUserGroup	update	全部资源 ``	无	无
yundun-bastionhost:AttachHostGroupAccountsToUser	AttachHostGroupAccountsToUser	update	全部资源 ``	无	无
yundun-bastionhost:AttachHostGroupAccountsToUserGroup	AttachHostGroupAccountsToUserGroup	update	全部资源 ``	无	无
yundun-bastionhost:ConfigInstanceSecurityGroups	ConfigInstanceSecurityGroups	none	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:ConfigInstanceWhiteList	ConfigInstanceWhiteList	update	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:CreateDatabase	CreateDatabase		全部资源 ``	无	无
yundun-bastionhost:CreateDatabaseAccount	CreateDatabaseAccount		全部资源 ``	无	无
yundun-bastionhost:CreateExportConfigJob	CreateExportConfigJob	create	全部资源 ``	无	无
yundun-bastionhost:CreateHost	CreateHost	create	全部资源 ``	无	无
yundun-bastionhost:CreateHostAccount	CreateHostAccount	create	全部资源 ``	无	无
yundun-bastionhost:CreateHostGroup	CreateHostGroup	create	全部资源 ``	无	无
yundun-bastionhost:CreateHostShareKey	CreateHostShareKey	Write	全部资源 ``	无	无
yundun-bastionhost:CreateNetworkDomain	CreateNetworkDomain	create	全部资源 ``	无	无
yundun-bastionhost:CreateOperationTicket	CreateOperationTicket	create	全部资源 ``	无	无
yundun-bastionhost:CreatePolicy	CreatePolicy		全部资源 ``	无	无
yundun-bastionhost:CreateRule	CreateRule		全部资源 ``	无	无
yundun-bastionhost:CreateUser	CreateUser	create	全部资源 ``	无	无
yundun-bastionhost:CreateUserGroup	CreateUserGroup	create	全部资源 ``	无	无
yundun-bastionhost:CreateUserPublicKey	CreateUserPublicKey	create	全部资源 ``	无	无
yundun-bastionhost:DeleteDatabase	DeleteDatabase		全部资源 ``	无	无
yundun-bastionhost:DeleteDatabaseAccount	DeleteDatabaseAccount		全部资源 ``	无	无
yundun-bastionhost:DeleteHost	DeleteHost	delete	全部资源 ``	无	无
yundun-bastionhost:DeleteHostAccount	DeleteHostAccount	delete	全部资源 ``	无	无
yundun-bastionhost:DeleteHostGroup	DeleteHostGroup	delete	全部资源 ``	无	无
yundun-bastionhost:DeleteHostShareKey	DeleteHostShareKey	Write	全部资源 ``	无	无
yundun-bastionhost:DeleteNetworkDomain	DeleteNetworkDomain		全部资源 ``	无	无
yundun-bastionhost:DeletePolicy	DeletePolicy		全部资源 ``	无	无
yundun-bastionhost:DeleteRule	DeleteRule		全部资源 ``	无	无
yundun-bastionhost:DeleteUser	DeleteUser	delete	全部资源 ``	无	无
yundun-bastionhost:DeleteUserGroup	DeleteUserGroup	delete	全部资源 ``	无	无
yundun-bastionhost:DeleteUserPublicKey	DeleteUserPublicKey	delete	全部资源 ``	无	无
yundun-bastionhost:DescribeInstanceAttribute	DescribeInstanceAttribute	get	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:DescribeInstanceBastionhost	DescribeInstances	get	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:DetachDatabaseAccountsFromUser	DetachDatabaseAccountsFromUser		全部资源 ``	无	无
yundun-bastionhost:DetachDatabaseAccountsFromUserGroup	DetachDatabaseAccountsFromUserGroup		全部资源 ``	无	无
yundun-bastionhost:DetachHostAccountsFromHostShareKey	DetachHostAccountsFromHostShareKey	Write	全部资源 ``	无	无
yundun-bastionhost:DetachHostAccountsFromUser	DetachHostAccountsFromUser	update	全部资源 ``	无	无
yundun-bastionhost:DetachHostAccountsFromUserGroup	DetachHostAccountsFromUserGroup	update	全部资源 ``	无	无
yundun-bastionhost:DetachHostGroupAccountsFromUser	DetachHostGroupAccountsFromUser	update	全部资源 ``	无	无
yundun-bastionhost:DetachHostGroupAccountsFromUserGroup	DetachHostGroupAccountsFromUserGroup	update	全部资源 ``	无	无
yundun-bastionhost:DisableInstancePublicAccess	DisableInstancePublicAccess	update	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:DisableRule	DisableRule		全部资源 ``	无	无
yundun-bastionhost:EnableInstancePublicAccess	EnableInstancePublicAccess	update	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:EnableRule	EnableRule		全部资源 ``	无	无
yundun-bastionhost:GenerateAssetOperationToken	GenerateAssetOperationToken	create	全部资源 ``	无	无
yundun-bastionhost:GetDatabase	GetDatabase		全部资源 ``	无	无
yundun-bastionhost:GetDatabaseAccount	GetDatabaseAccount		全部资源 ``	无	无
yundun-bastionhost:GetExportConfigJob	GetExportConfigJob	get	全部资源 ``	无	无
yundun-bastionhost:GetHost	GetHost	get	全部资源 ``	无	无
yundun-bastionhost:GetHostAccount	GetHostAccount	get	全部资源 ``	无	无
yundun-bastionhost:GetHostGroup	GetHostGroup	get	全部资源 ``	无	无
yundun-bastionhost:GetHostShareKey	GetHostShareKey	get	全部资源 ``	无	无
yundun-bastionhost:GetInstanceADAuthServer	GetInstanceADAuthServer	get	全部资源 ``	无	无
yundun-bastionhost:GetInstanceLDAPAuthServer	GetInstanceLDAPAuthServer	get	全部资源 ``	无	无
yundun-bastionhost:GetInstanceStoreInfo	GetInstanceStoreInfo	get	全部资源 ``	无	无
yundun-bastionhost:GetInstanceTwoFactor	GetInstanceTwoFactor	get	全部资源 ``	无	无
yundun-bastionhost:GetNetworkDomain	GetNetworkDomain	get	全部资源 ``	无	无
yundun-bastionhost:GetPolicy	GetPolicy		全部资源 ``	无	无
yundun-bastionhost:GetPolicyAssetScope	GetPolicyAssetScope		全部资源 ``	无	无
yundun-bastionhost:GetPolicyUserScope	GetPolicyUserScope		全部资源 ``	无	无
yundun-bastionhost:GetRule	GetRule		全部资源 ``	无	无
yundun-bastionhost:GetUser	GetUser	get	全部资源 ``	无	无
yundun-bastionhost:GetUserGroup	GetUserGroup	get	全部资源 ``	无	无
yundun-bastionhost:ListApproveCommands	ListApproveCommands	get	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:ListDatabaseAccounts	ListDatabaseAccounts		全部资源 ``	无	无
yundun-bastionhost:ListDatabaseAccountsForUser	ListDatabaseAccountsForUser		全部资源 ``	无	无
yundun-bastionhost:ListDatabaseAccountsForUserGroup	ListDatabaseAccountsForUserGroup		全部资源 ``	无	无
yundun-bastionhost:ListDatabases	ListDatabases		全部资源 ``	无	无
yundun-bastionhost:ListDatabasesForUser	ListDatabasesForUser		全部资源 ``	无	无
yundun-bastionhost:ListDatabasesForUserGroup	ListDatabasesForUserGroup		全部资源 ``	无	无
yundun-bastionhost:ListHostAccounts	ListHostAccounts	get	全部资源 ``	无	无
yundun-bastionhost:ListHostAccountsForHostShareKey	ListHostAccountsForHostShareKey	get	全部资源 ``	无	无
yundun-bastionhost:ListHostAccountsForUser	ListHostAccountsForUser	get	全部资源 ``	无	无
yundun-bastionhost:ListHostAccountsForUserGroup	ListHostAccountsForUserGroup	get	全部资源 ``	无	无
yundun-bastionhost:ListHostGroupAccountNamesForUser	ListHostGroupAccountNamesForUser	get	全部资源 ``	无	无
yundun-bastionhost:ListHostGroupAccountNamesForUserGroup	ListHostGroupAccountNamesForUserGroup	get	全部资源 ``	无	无
yundun-bastionhost:ListHostGroups	ListHostGroups	get	全部资源 ``	无	无
yundun-bastionhost:ListHostGroupsForUser	ListHostGroupsForUser	get	全部资源 ``	无	无
yundun-bastionhost:ListHostGroupsForUserGroup	ListHostGroupsForUserGroup	get	全部资源 ``	无	无
yundun-bastionhost:ListHostShareKeys	ListHostShareKeys	list	全部资源 ``	无	无
yundun-bastionhost:ListHosts	ListHosts	get	全部资源 ``	无	无
yundun-bastionhost:ListHostsForUser	ListHostsForUser	get	全部资源 ``	无	无
yundun-bastionhost:ListHostsForUserGroup	ListHostsForUserGroup	get	全部资源 ``	无	无
yundun-bastionhost:ListNetworkDomains	ListNetworkDomains	list	全部资源 ``	无	无
yundun-bastionhost:ListOperationDatabaseAccounts	ListOperationDatabaseAccounts		全部资源 ``	无	无
yundun-bastionhost:ListOperationDatabases	ListOperationDatabases	list	全部资源 ``	无	无
yundun-bastionhost:ListOperationHostAccounts	ListOperationHostAccounts		全部资源 ``	无	无
yundun-bastionhost:ListOperationHosts	ListOperationHosts	list	全部资源 ``	无	无
yundun-bastionhost:ListOperationTickets	ListOperationTickets	list	全部资源 ``	无	无
yundun-bastionhost:ListPolicies	ListPolicies		全部资源 ``	无	无
yundun-bastionhost:ListRules	ListRules		全部资源 ``	无	无
yundun-bastionhost:ListTagKeys	ListTagKeys	get	全部资源 ``	无	无
yundun-bastionhost:ListTagResources	ListTagResources	get	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:ListUserGroups	ListUserGroups	get	全部资源 ``	无	无
yundun-bastionhost:ListUserPublicKeys	ListUserPublicKeys	get	全部资源 ``	无	无
yundun-bastionhost:ListUsers	ListUsers	get	全部资源 ``	无	无
yundun-bastionhost:LockUsers	LockUsers	Write	全部资源 ``	无	无
yundun-bastionhost:ModifyDatabase	ModifyDatabase		全部资源 ``	无	无
yundun-bastionhost:ModifyDatabaseAccount	ModifyDatabaseAccount		全部资源 ``	无	无
yundun-bastionhost:ModifyHost	ModifyHost	update	全部资源 ``	无	无
yundun-bastionhost:ModifyHostAccount	ModifyHostAccount	update	全部资源 ``	无	无
yundun-bastionhost:ModifyHostGroup	ModifyHostGroup	update	全部资源 ``	无	无
yundun-bastionhost:ModifyHostShareKey	ModifyHostShareKey	Write	全部资源 ``	无	无
yundun-bastionhost:ModifyHostsActiveAddressType	ModifyHostsActiveAddressType	update	全部资源 ``	无	无
yundun-bastionhost:ModifyHostsPort	ModifyHostsPort	update	全部资源 ``	无	无
yundun-bastionhost:ModifyInstanceADAuthServer	ModifyInstanceADAuthServer	Write	全部资源 ``	无	无
yundun-bastionhost:ModifyInstanceAttribute	ModifyInstanceAttribute	update	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:ModifyInstanceLDAPAuthServer	ModifyInstanceLDAPAuthServer	Write	全部资源 ``	无	无
yundun-bastionhost:ModifyInstanceTwoFactor	ModifyInstanceTwoFactor	Write	全部资源 ``	无	无
yundun-bastionhost:ModifyNetworkDomain	ModifyNetworkDomain	update	全部资源 ``	无	无
yundun-bastionhost:ModifyPolicy	ModifyPolicy		全部资源 ``	无	无
yundun-bastionhost:ModifyRule	ModifyRule		全部资源 ``	无	无
yundun-bastionhost:ModifyUser	ModifyUser	update	全部资源 ``	无	无
yundun-bastionhost:ModifyUserGroup	ModifyUserGroup	update	全部资源 ``	无	无
yundun-bastionhost:ModifyUserPublicKey	ModifyUserPublicKey	Write	全部资源 ``	无	无
yundun-bastionhost:MoveDatabasesToNetworkDomain	MoveDatabasesToNetworkDomain		全部资源 ``	无	无
yundun-bastionhost:MoveHostsToNetworkDomain	MoveHostsToNetworkDomain		全部资源 ``	无	无
yundun-bastionhost:MoveResourceGroup	MoveResourceGroup	update	全部资源 ``	无	无
yundun-bastionhost:RejectApproveCommand	RejectApproveCommand		全部资源 ``	无	无
yundun-bastionhost:RejectOperationTicket	RejectOperationTicket	update	全部资源 ``	无	无
yundun-bastionhost:RemoveDatabasesFromGroup	RemoveDatabasesFromGroup		全部资源 ``	无	无
yundun-bastionhost:RemoveHostsFromGroup	RemoveHostsFromGroup	delete	全部资源 ``	无	无
yundun-bastionhost:RemoveUsersFromGroup	RemoveUsersFromGroup	delete	全部资源 ``	无	无
yundun-bastionhost:RenewAssetOperationToken	RenewAssetOperationToken		全部资源 ``	无	无
yundun-bastionhost:ResetHostAccountCredential	ResetHostAccountCredential	update	全部资源 ``	无	无
yundun-bastionhost:SetPolicyAccessTimeRangeConfig	SetPolicyAccessTimeRangeConfig		全部资源 ``	无	无
yundun-bastionhost:SetPolicyApprovalConfig	SetPolicyApprovalConfig		全部资源 ``	无	无
yundun-bastionhost:SetPolicyAssetScope	SetPolicyAssetScope		全部资源 ``	无	无
yundun-bastionhost:SetPolicyCommandConfig	SetPolicyCommandConfig		全部资源 ``	无	无
yundun-bastionhost:SetPolicyIPAclConfig	SetPolicyIPAclConfig		全部资源 ``	无	无
yundun-bastionhost:SetPolicyProtocolConfig	SetPolicyProtocolConfig		全部资源 ``	无	无
yundun-bastionhost:SetPolicyUserScope	SetPolicyUserScope		全部资源 ``	无	无
yundun-bastionhost:StartInstance	StartInstance	update	*Instance `acs:yundun-bastionhost:{#regionId}:{#accountId}:instance/{#InstanceId}`	无	无
yundun-bastionhost:TagResources	TagResources	Write	全部资源 ``	无	无
yundun-bastionhost:UnlockUsers	UnlockUsers	Write	全部资源 ``	无	无
yundun-bastionhost:UntagResources	UntagResources	none	全部资源 ``	无	无

资源（Resource）

运维安全中心（堡垒机）不支持在RAM权限策略语句的Resource中指定资源ARN。如果要允许对运维安全中心（堡垒机）的访问权限，请在策略语句中指定"Resource": "*"。

条件（Condition）

运维安全中心（堡垒机）未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字，请参见通用条件关键字。

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作