访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。使用 RAM 可以让您避免与其他用户共享阿里云账号密钥,并可按需为用户授予最小权限。RAM 中使用权限策略描述授权的具体内容。
本文为您介绍 办公安全平台 为 RAM 权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。 办公安全平台 的 RAM 代码(RamCode)为 csas ,支持的授权粒度为 操作级 。
权限策略通用结构
权限策略支持 JSON 格式,其通用结构如下:
{
"Version": "1",
"Statement": [
{
"Effect": "<Effect>",
"Action": "<Action>",
"Resource": "<Resource>",
"Condition": {
"<Condition_operator>": {
"<Condition_key>": [
"<Condition_value>"
]
}
}
}
]
} 各字段含义如下:
Effect:权限策略效果。取值:Allow(允许)、Deny(拒绝)。
Action:授予允许或拒绝权限的具体操作。具体信息,请参见操作(Action)。
Resource:受操作影响的具体对象,您可以使用资源 ARN 来描述指定资源。具体信息,请参见资源(Resource)。
Condition:指授权生效的条件。可选字段。具体信息,请参见条件(Condition)。
Condition_operator:条件运算符,不同类型的条件对应不同的条件运算符。具体信息,请参见权限策略基本元素。
Condition_key:条件关键字。
Condition_value:条件关键字对应的值。
操作(Action)
下表是办公安全平台定义的操作,这些操作可以在 RAM 权限策略语句的Action元素中使用,用来授予执行该操作的权限。下面对表中的具体项提供说明:
操作:是指具体的权限点。
API:是指操作对应的 API 接口。
访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
资源类型:是指操作中支持授权的资源类型。具体说明如下:
对于必选的资源类型,用前面加 * 表示。
对于不支持资源级授权的操作,用
全部资源表示。
条件关键字:是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
|
操作 |
API |
访问级别 |
资源类型 |
条件关键字 |
关联操作 |
| csas:ListDynamicRoutes | ListDynamicRoutes | get |
*全部资源
|
无 | 无 |
| csas:ImportEnterpriseAccelerateTargets | ImportEnterpriseAccelerateTargets | create |
*全部资源
|
无 | 无 |
| csas:ListApplicationsForPrivateAccessPolicy | ListApplicationsForPrivateAccessPolicy | get |
*全部资源
|
无 | 无 |
| csas:UpdateClientUser | UpdateClientUser | update |
*全部资源
|
无 | 无 |
| csas:ListPrivateAccessApplications | ListPrivateAccessApplications | get |
*全部资源
|
无 | 无 |
| csas:UpdateUserGroup | UpdateUserGroup | update |
*全部资源
|
无 | 无 |
| csas:DeletePrivateAccessApplication | DeletePrivateAccessApplication | delete |
*全部资源
|
无 | 无 |
| csas:ModifyEnterpriseAcceleratePolicy | ModifyEnterpriseAcceleratePolicy | update |
*全部资源
|
无 | 无 |
| csas:ListUserGroupsForRegistrationPolicy | ListUserGroupsForRegistrationPolicy | get |
*全部资源
|
无 | 无 |
| csas:ListUserApplications | ListUserApplications | list |
*全部资源
|
无 | 无 |
| csas:ListTagsForPrivateAccessApplication | ListTagsForPrivateAccessApplication | get |
*全部资源
|
无 | 无 |
| csas:UpdatePrivateAccessApplication | UpdatePrivateAccessApplication | update |
*全部资源
|
无 | 无 |
| csas:DeleteEnterpriseAccelerateTarget | DeleteEnterpriseAccelerateTarget | delete |
*全部资源
|
无 | 无 |
| csas:GetApproval | GetApproval | get |
*全部资源
|
无 | 无 |
| csas:CreateRegistrationPolicy | CreateRegistrationPolicy | create |
*全部资源
|
无 | 无 |
| csas:UpdateUserDevicesSharingStatus | UpdateUserDevicesSharingStatus | update |
*全部资源
|
无 | 无 |
| csas:ListEnterpriseAcceleratePolicies | ListEnterpriseAcceleratePolicies | get |
*全部资源
|
无 | 无 |
| csas:GetWmExtractTask | GetWmExtractTask | get |
*全部资源
|
无 | 无 |
| csas:ListRegistrationPolicies | ListRegistrationPolicies | list |
*全部资源
|
无 | 无 |
| csas:GetPrivateAccessPolicy | GetPrivateAccessPolicy | get |
*全部资源
|
无 | 无 |
| csas:DeleteEnterpriseAcceleratePolicy | DeleteEnterpriseAcceleratePolicy | delete |
*全部资源
|
无 | 无 |
| csas:ListPrivateAccessTagsForDynamicRoute | ListPrivateAccessTagsForDynamicRoute | list |
*全部资源
|
无 | 无 |
| csas:GetIdpConfig | GetIdpConfig | get |
*全部资源
|
无 | 无 |
| csas:CreateWmEmbedTask | CreateWmEmbedTask | create |
*全部资源
|
无 | 无 |
| csas:ListApprovalSchemas | ListApprovalSchemas | list |
*全部资源
|
无 | 无 |
| csas:CreateEnterpriseAcceleratePolicy | CreateEnterpriseAcceleratePolicy | create |
*全部资源
|
无 | 无 |
| csas:DeleteUserDevices | DeleteUserDevices | delete |
*全部资源
|
无 | 无 |
| csas:UpdateApprovalProcess | UpdateApprovalProcess | update |
*全部资源
|
无 | 无 |
| csas:UpdateUninstallApplicationsStatus | UpdateUninstallApplicationsStatus | update |
*全部资源
|
无 | 无 |
| csas:UpdateIdpDepartment | UpdateIdpDepartment | update |
*全部资源
|
无 | 无 |
| csas:DeleteClientUser | DeleteClientUser | delete |
*全部资源
|
无 | 无 |
| csas:UpdateUserDevicesStatus | UpdateUserDevicesStatus | update |
*全部资源
|
无 | 无 |
| csas:GetRegistrationPolicy | GetRegistrationPolicy | get |
*全部资源
|
无 | 无 |
| csas:ListIdpConfigs | ListIdpConfigs | get |
*全部资源
|
无 | 无 |
| csas:CreatePrivateAccessPolicy | CreatePrivateAccessPolicy | create |
*全部资源
|
无 | 无 |
| csas:ListRegistrationPoliciesForUserGroup | ListRegistrationPoliciesForUserGroup | list |
*全部资源
|
无 | 无 |
| csas:GetApprovalSchema | GetApprovalSchema | get |
*全部资源
|
无 | 无 |
| csas:ListPrivateAccessTags | ListPrivateAccessTags | get |
*全部资源
|
无 | 无 |
| csas:UpdateBootAndAntiUninstallPolicy | UpdateBootAndAntiUninstallPolicy | update |
*全部资源
|
无 | 无 |
| csas:ListTagsForPrivateAccessPolicy | ListTagsForPrivateAccessPolicy | get |
*全部资源
|
无 | 无 |
| csas:UpdateClientUserPassword | UpdateClientUserPassword | update |
*全部资源
|
无 | 无 |
| csas:CreateClientUser | CreateClientUser | create |
*全部资源
|
无 | 无 |
| csas:UpdateNacUserCertStatus | UpdateNacUserCertStatus | none |
*全部资源
|
无 | 无 |
| csas:ListIdpDepartments | ListIdpDepartments | get |
*全部资源
|
无 | 无 |
| csas:ListEnterpriseAccelerateLogs | ListEnterpriseAccelerateLogs | get |
*全部资源
|
无 | 无 |
| csas:ListUserGroups | ListUserGroups | get |
*全部资源
|
无 | 无 |
| csas:ListApprovals | ListApprovals | list |
*全部资源
|
无 | 无 |
| csas:GetUserGroup | GetUserGroup | get |
*全部资源
|
无 | 无 |
| csas:UpdateClientUserStatus | UpdateClientUserStatus | update |
*全部资源
|
无 | 无 |
| csas:ListPrivateAccessApplicationsForDynamicRoute | ListPrivateAccessApplicationsForDynamicRoute | get |
*全部资源
|
无 | 无 |
| csas:ListExcessiveDeviceRegistrationApplications | ListExcessiveDeviceRegistrationApplications | list |
*全部资源
|
无 | 无 |
| csas:GetClientUser | GetClientUser | get |
*全部资源
|
无 | 无 |
| csas:GetPrivateAccessApplication | GetPrivateAccessApplication | get |
*全部资源
|
无 | 无 |
| csas:DeleteApprovalProcesses | DeleteApprovalProcesses | delete |
*全部资源
|
无 | 无 |
| csas:UpdateDynamicRoute | UpdateDynamicRoute | update |
*全部资源
|
无 | 无 |
| csas:GetDynamicRoute | GetDynamicRoute | get |
*全部资源
|
无 | 无 |
| csas:CreateWmInfoMapping | CreateWmInfoMapping | create |
*全部资源
|
无 | 无 |
| csas:ListUserDevices | ListUserDevices | list |
*全部资源
|
无 | 无 |
| csas:AttachPolicy2ApprovalProcess | AttachPolicy2ApprovalProcess | create |
*全部资源
|
无 | 无 |
| csas:ListUninstallApplications | ListUninstallApplications | list |
*全部资源
|
无 | 无 |
| csas:GetBootAndAntiUninstallPolicy | GetBootAndAntiUninstallPolicy | get |
*全部资源
|
无 | 无 |
| csas:GetActiveIdpConfig | GetActiveIdpConfig | get |
*全部资源
|
无 | 无 |
| csas:ListApprovalProcessesForApprovalSchemas | ListApprovalProcessesForApprovalSchemas | list |
*全部资源
|
无 | 无 |
| csas:DeletePrivateAccessPolicy | DeletePrivateAccessPolicy | delete |
*全部资源
|
无 | 无 |
| csas:DeleteOtpConfig | DeleteOtpConfig | delete |
*全部资源
|
无 | 无 |
| csas:ListUserPrivateAccessPolicies | ListUserPrivateAccessPolicies | list |
*全部资源
|
无 | 无 |
| csas:UpdateExcessiveDeviceRegistrationApplicationsStatus | UpdateExcessiveDeviceRegistrationApplicationsStatus | update |
*全部资源
|
无 | 无 |
| csas:ListConnectors | ListConnectors | get |
*全部资源
|
无 | 无 |
| csas:CreatePrivateAccessTag | CreatePrivateAccessTag | create |
*全部资源
|
无 | 无 |
| csas:CreateEnterpriseAccelerateTarget | CreateEnterpriseAccelerateTarget | create |
*全部资源
|
无 | 无 |
| csas:ListPrivateAccessPolices | ListPrivateAccessPolices | get |
*全部资源
|
无 | 无 |
| csas:GetWmEmbedTask | GetWmEmbedTask | get |
*全部资源
|
无 | 无 |
| csas:CreateDynamicRoute | CreateDynamicRoute | create |
*全部资源
|
无 | 无 |
| csas:ListPolicesForPrivateAccessTag | ListPolicesForPrivateAccessTag | get |
*全部资源
|
无 | 无 |
| csas:ListUserGroupsForPrivateAccessPolicy | ListUserGroupsForPrivateAccessPolicy | list |
*全部资源
|
无 | 无 |
| csas:AttachApplication2Connector | AttachApplication2Connector | update |
*全部资源
|
无 | 无 |
| csas:UpdateApprovalStatus | UpdateApprovalStatus | update |
*全部资源
|
无 | 无 |
| csas:UpdatePrivateAccessPolicy | UpdatePrivateAccessPolicy | update |
*全部资源
|
无 | 无 |
| csas:ListSoftwareForUserDevice | ListSoftwareForUserDevice | list |
*全部资源
|
无 | 无 |
| csas:UpdateUsersStatus | UpdateUsersStatus | update |
*全部资源
|
无 | 无 |
| csas:ListApprovalProcesses | ListApprovalProcesses | list |
*全部资源
|
无 | 无 |
| csas:CreateApprovalProcess | CreateApprovalProcess | create |
*全部资源
|
无 | 无 |
| csas:DeleteUserGroup | DeleteUserGroup | delete |
*全部资源
|
无 | 无 |
| csas:ListPolicesForPrivateAccessApplication | ListPolicesForPrivateAccessApplication | get |
*全部资源
|
无 | 无 |
| csas:DeleteIdpDepartment | DeleteIdpDepartment | delete |
*全部资源
|
无 | 无 |
| csas:ListClientUsers | ListClientUsers | get |
*全部资源
|
无 | 无 |
| csas:ListApplicationsForPrivateAccessTag | ListApplicationsForPrivateAccessTag | get |
*全部资源
|
无 | 无 |
| csas:DeletePrivateAccessTag | DeletePrivateAccessTag | delete |
*全部资源
|
无 | 无 |
| csas:ListNacUserCert | ListNacUserCert | none |
*全部资源
|
无 | 无 |
| csas:ListPopTrafficStatistics | ListPopTrafficStatistics | get |
*全部资源
|
无 | 无 |
| csas:DeleteDynamicRoute | DeleteDynamicRoute | delete |
*全部资源
|
无 | 无 |
| csas:LookupWmInfoMapping | LookupWmInfoMapping | get |
*全部资源
|
无 | 无 |
| csas:CreateWmBaseImage | CreateWmBaseImage | create |
*全部资源
|
无 | 无 |
| csas:DetachPolicy2ApprovalProcess | DetachPolicy2ApprovalProcess | delete |
*全部资源
|
无 | 无 |
| csas:EnableEnterpriseAcceleratePolicy | EnableEnterpriseAcceleratePolicy | update |
*全部资源
|
无 | 无 |
| csas:CreateIdpDepartment | CreateIdpDepartment | create |
*全部资源
|
无 | 无 |
| csas:UpdateRegistrationPolicy | UpdateRegistrationPolicy | update |
*全部资源
|
无 | 无 |
| csas:GetApprovalProcess | GetApprovalProcess | get |
*全部资源
|
无 | 无 |
| csas:DetachApplication2Connector | DetachApplication2Connector | update |
*全部资源
|
无 | 无 |
| csas:ListDynamicRouteRegions | ListDynamicRouteRegions | get |
*全部资源
|
无 | 无 |
| csas:ListApprovalSchemasForApprovalProcesses | ListApprovalSchemasForApprovalProcesses | list |
*全部资源
|
无 | 无 |
| csas:GetUserDevice | GetUserDevice | get |
*全部资源
|
无 | 无 |
| csas:RevokeUserSession | RevokeUserSession | none |
*全部资源
|
无 | 无 |
| csas:ListDynamicDisposalProcesses | ListDynamicDisposalProcesses | list |
*全部资源
|
无 | 无 |
| csas:ListPolicesForUserGroup | ListPolicesForUserGroup | get |
*全部资源
|
无 | 无 |
| csas:DeleteRegistrationPolicies | DeleteRegistrationPolicies | delete |
*全部资源
|
无 | 无 |
| csas:ExportUserDevices | ExportUserDevices | list |
*全部资源
|
无 | 无 |
| csas:CreateWmExtractTask | CreateWmExtractTask | create |
*全部资源
|
无 | 无 |
| csas:ListEnterpriseAccelerateTargets | ListEnterpriseAccelerateTargets | get |
*全部资源
|
无 | 无 |
| csas:ListUsers | ListUsers | list |
*全部资源
|
无 | 无 |
| csas:CreateUserGroup | CreateUserGroup | create |
*全部资源
|
无 | 无 |
| csas:DisableEnterpriseAcceleratePolicy | DisableEnterpriseAcceleratePolicy | update |
*全部资源
|
无 | 无 |
| csas:CreatePrivateAccessApplication | CreatePrivateAccessApplication | create |
*全部资源
|
无 | 无 |
资源(Resource)
下表是办公安全平台定义的资源,这些资源可以在 RAM 权限策略语句的Resource元素中使用,用来授予对该资源执行具体操作的权限。 其中,资源 ARN 是资源在阿里云上的唯一标识。具体说明如下:
{#}为变量标识,需要您替换为实际值。例如:{#ramcode}需要您替换为实际的云服务RAM代码。*表示全部。例如:{#resourceType}为*时:表示全部资源。{#regionId}为*时:表示全部地域。{#accountId}为*时:表示全部阿里云账号。
资源类型 |
资源 ARN |
条件(Condition)
办公安全平台未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字,请参见通用条件关键字。
相关操作
您可以创建自定义权限策略,并将权限策略授予 RAM 用户、RAM 用户组或 RAM 角色。具体操作如下: