访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用 RAM 可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM 中使用权限策略描述授权的具体内容。
本文为您介绍 运维安全中心(堡垒机) 为 RAM 权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。 运维安全中心(堡垒机) 的 RAM 代码(RamCode)为 yundun-bastionhost ,支持的授权粒度为 操作级 。
权限策略通用结构
权限策略支持 JSON 格式,其通用结构如下:
{
"Version": "1",
"Statement": [
{
"Effect": "<Effect>",
"Action": "<Action>",
"Resource": "<Resource>",
"Condition": {
"<Condition_operator>": {
"<Condition_key>": [
"<Condition_value>"
]
}
}
}
]
} 各字段含义如下:
Effect:权限策略效果。取值:Allow(允许)、Deny(拒绝)。
Action:授予允许或拒绝权限的具体操作。具体信息,请参见操作(Action)。
Resource:受操作影响的具体对象,您可以使用资源 ARN 来描述指定资源。具体信息,请参见资源(Resource)。
Condition:指授权生效的条件。可选字段。具体信息,请参见条件(Condition)。
Condition_operator:条件运算符,不同类型的条件对应不同的条件运算符。具体信息,请参见权限策略基本元素。
Condition_key:条件关键字。
Condition_value:条件关键字对应的值。
操作(Action)
下表是运维安全中心(堡垒机)定义的操作,这些操作可以在 RAM 权限策略语句的Action元素中使用,用来授予执行该操作的权限。下面对表中的具体项提供说明:
操作:是指具体的权限点。
API:是指操作对应的 API 接口。
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
资源类型:是指操作中支持授权的资源类型。具体说明如下:
对于必选的资源类型,用前面加 * 表示。
对于不支持资源级授权的操作,用
全部资源表示。
条件关键字:是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
|
操作 |
API |
访问级别 |
资源类型 |
条件关键字 |
关联操作 |
| yundun-bastionhost:DetachHostGroupAccountsFromUser | DetachHostGroupAccountsFromUser | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteHost | DeleteHost | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListTagKeys | ListTagKeys | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyInstanceADAuthServer | ModifyInstanceADAuthServer | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyUser | ModifyUser | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyApprovalConfig | SetPolicyApprovalConfig | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AddDatabasesToGroup | AddDatabasesToGroup | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:RejectApproveCommand | RejectApproveCommand | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ResetHostAccountCredential | ResetHostAccountCredential | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateUser | CreateUser | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:LockUsers | LockUsers | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetInstanceStoreInfo | GetInstanceStoreInfo | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DetachHostGroupAccountsFromUserGroup | DetachHostGroupAccountsFromUserGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateDatabaseAccount | CreateDatabaseAccount | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DeleteRule | DeleteRule | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AddHostsToGroup | AddHostsToGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListInstanceRdMembers | ListInstanceRdMembers | list |
*Instance
|
无 | 无 |
| yundun-bastionhost:DisableInstancePublicAccess | DisableInstancePublicAccess | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:VerifyInstanceLDAPAuthServer | VerifyInstanceLDAPAuthServer | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:AttachHostGroupAccountsToUserGroup | AttachHostGroupAccountsToUserGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostShareKeys | ListHostShareKeys | list |
*Instance
|
无 | 无 |
| yundun-bastionhost:AttachHostGroupAccountsToUser | AttachHostGroupAccountsToUser | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetNetworkDomain | GetNetworkDomain | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AcceptApproveCommand | AcceptApproveCommand | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyHostGroup | ModifyHostGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetInstanceTwoFactor | GetInstanceTwoFactor | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostGroupAccountNamesForUser | ListHostGroupAccountNamesForUser | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateHostGroup | CreateHostGroup | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:RenewAssetOperationToken | RenewAssetOperationToken | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateHostAccount | CreateHostAccount | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListUsers | ListUsers | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyRule | ModifyRule | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyIPAclConfig | SetPolicyIPAclConfig | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DeleteUser | DeleteUser | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteDatabaseAccount | DeleteDatabaseAccount | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetPolicy | GetPolicy | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListHostAccountsForUserGroup | ListHostAccountsForUserGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetRule | GetRule | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetPolicyAssetScope | GetPolicyAssetScope | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:RejectOperationTicket | RejectOperationTicket | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListDatabasesForUserGroup | ListDatabasesForUserGroup | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetInstanceADAuthServer | GetInstanceADAuthServer | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreatePolicy | CreatePolicy | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyInstanceAttribute | ModifyInstanceAttribute | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:StartInstance | StartInstance | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:RemoveDatabasesFromGroup | RemoveDatabasesFromGroup | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyHostsActiveAddressType | ModifyHostsActiveAddressType | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:GenerateAssetOperationToken | GenerateAssetOperationToken | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateRule | CreateRule | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ConfigInstanceWhiteList | ConfigInstanceWhiteList | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DetachDatabaseAccountsFromUserGroup | DetachDatabaseAccountsFromUserGroup | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DetachHostAccountsFromUser | DetachHostAccountsFromUser | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateHost | CreateHost | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyCommandConfig | SetPolicyCommandConfig | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AddInstanceRdMember | AddInstanceRdMember | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListDatabasesForUser | ListDatabasesForUser | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:MoveHostsToNetworkDomain | MoveHostsToNetworkDomain | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListDatabaseAccounts | ListDatabaseAccounts | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateUserPublicKey | CreateUserPublicKey | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:ImportKMSSecretsForHost | ImportKMSSecretsForHost | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:AcceptOperationTicket | AcceptOperationTicket | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyUserPublicKey | ModifyUserPublicKey | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:MoveDatabasesToNetworkDomain | MoveDatabasesToNetworkDomain | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyHost | ModifyHost | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AddUsersToGroup | AddUsersToGroup | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListDatabaseAccountsForUserGroup | ListDatabaseAccountsForUserGroup | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyUserScope | SetPolicyUserScope | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetInstanceLDAPAuthServer | GetInstanceLDAPAuthServer | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:TagResources | TagResources | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeletePolicy | DeletePolicy | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetExportConfigJob | GetExportConfigJob | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:UntagResources | UntagResources | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetUserGroup | GetUserGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteNetworkDomain | DeleteNetworkDomain | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateNetworkDomain | CreateNetworkDomain | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetUser | GetUser | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:RemoveUsersFromGroup | RemoveUsersFromGroup | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetHostAccount | GetHostAccount | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyPolicy | ModifyPolicy | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListNetworkDomains | ListNetworkDomains | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AttachHostAccountsToHostShareKey | AttachHostAccountsToHostShareKey | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyHostAccount | ModifyHostAccount | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetDatabase | GetDatabase | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListImportableKMSSecretsForHost | ListImportableKMSSecretsForHost | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DeleteHostGroup | DeleteHostGroup | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteHostAccount | DeleteHostAccount | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:DetachHostAccountsFromHostShareKey | DetachHostAccountsFromHostShareKey | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostAccountsForHostShareKey | ListHostAccountsForHostShareKey | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListOperationHostAccounts | ListOperationHostAccounts | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AttachHostAccountsToUser | AttachHostAccountsToUser | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListOperationTickets | ListOperationTickets | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DeleteUserPublicKey | DeleteUserPublicKey | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteUserGroup | DeleteUserGroup | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyUserGroup | ModifyUserGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListRules | ListRules | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListDatabases | ListDatabases | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyInstanceTwoFactor | ModifyInstanceTwoFactor | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DisableRule | DisableRule | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateHostShareKey | CreateHostShareKey | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:DetachDatabaseAccountsFromUser | DetachDatabaseAccountsFromUser | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyHostShareKey | ModifyHostShareKey | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteHostShareKey | DeleteHostShareKey | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:AttachDatabaseAccountsToUserGroup | AttachDatabaseAccountsToUserGroup | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListHostGroupsForUserGroup | ListHostGroupsForUserGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyNetworkDomain | ModifyNetworkDomain | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListHostGroupsForUser | ListHostGroupsForUser | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:GetHostShareKey | GetHostShareKey | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListOperationHosts | ListOperationHosts | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyDatabaseAccount | ModifyDatabaseAccount | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListHostGroupAccountNamesForUserGroup | ListHostGroupAccountNamesForUserGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostAccounts | ListHostAccounts | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetHost | GetHost | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListOperationDatabaseAccounts | ListOperationDatabaseAccounts | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyProtocolConfig | SetPolicyProtocolConfig | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:EnableInstancePublicAccess | EnableInstancePublicAccess | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListUserGroups | ListUserGroups | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostsForUserGroup | ListHostsForUserGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:EnableRule | EnableRule | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListHosts | ListHosts | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:VerifyInstanceADAuthServer | VerifyInstanceADAuthServer | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListApproveCommands | ListApproveCommands | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostsForUser | ListHostsForUser | list |
*Instance
|
无 | 无 |
| yundun-bastionhost:AttachHostAccountsToUserGroup | AttachHostAccountsToUserGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:RemoveInstanceRdMember | RemoveInstanceRdMember | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListTagResources | ListTagResources | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:RemoveHostsFromGroup | RemoveHostsFromGroup | delete |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListPolicies | ListPolicies | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListOperationDatabases | ListOperationDatabases | list |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetHostGroup | GetHostGroup | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateUserGroup | CreateUserGroup | create |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateDatabase | CreateDatabase | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListDatabaseAccountsForUser | ListDatabaseAccountsForUser | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DescribeInstanceBastionhost | DescribeInstances | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ConfigInstanceSecurityGroups | ConfigInstanceSecurityGroups | none |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostAccountsForUser | ListHostAccountsForUser | list |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyInstanceLDAPAuthServer | ModifyInstanceLDAPAuthServer | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DetachHostAccountsFromUserGroup | DetachHostAccountsFromUserGroup | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:ModifyHostsPort | ModifyHostsPort | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:SetPolicyAssetScope | SetPolicyAssetScope | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:DescribeInstanceAttribute | DescribeInstanceAttribute | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:UnlockUsers | UnlockUsers | update |
*Instance
|
无 | 无 |
| yundun-bastionhost:DeleteDatabase | DeleteDatabase | delete |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetDatabaseAccount | GetDatabaseAccount | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:SetPolicyAccessTimeRangeConfig | SetPolicyAccessTimeRangeConfig | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:MoveResourceGroup | MoveResourceGroup | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:AttachDatabaseAccountsToUser | AttachDatabaseAccountsToUser | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:GetPolicyUserScope | GetPolicyUserScope | get |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ListUserPublicKeys | ListUserPublicKeys | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:ListHostGroups | ListHostGroups | get |
*Instance
|
无 | 无 |
| yundun-bastionhost:CreateOperationTicket | CreateOperationTicket | create |
*全部资源
|
无 | 无 |
| yundun-bastionhost:ModifyDatabase | ModifyDatabase | update |
*全部资源
|
无 | 无 |
| yundun-bastionhost:CreateExportConfigJob | CreateExportConfigJob | create |
*全部资源
|
无 | 无 |
资源(Resource)
下表是运维安全中心(堡垒机)定义的资源,这些资源可以在 RAM 权限策略语句的Resource元素中使用,用来授予对该资源执行具体操作的权限。 其中,资源 ARN 是资源在阿里云上的唯一标识。具体说明如下:
{#}为变量标识,需要您替换为实际值。例如:{#ramcode}需要您替换为实际的云服务RAM代码。*表示全部。例如:{#resourceType}为*时:表示全部资源。{#regionId}为*时:表示全部地域。{#accountId}为*时:表示全部阿里云账号。
资源类型 |
资源 ARN |
| Instance |
|
条件(Condition)
运维安全中心(堡垒机)未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字,请参见通用条件关键字。
相关操作
您可以创建自定义权限策略,并将权限策略授予 RAM 用户、RAM 用户组或 RAM 角色。具体操作如下: