RAM权限策略元素参考-办公安全平台-阿里云

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用权限策略描述授权的具体内容。

本文为您介绍办公安全平台（csas）为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。办公安全平台（csas）的RAM代码（RamCode）为 csas，支持的授权粒度为操作级。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源ARN来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是办公安全平台（csas）定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的API接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作
csas:AttachApplication2Connector	AttachApplication2Connector	update	全部资源 ``	无	无
csas:AttachPolicy2ApprovalProcess	AttachPolicy2ApprovalProcess	create	全部资源 ``	无	无
csas:CreateApprovalProcess	CreateApprovalProcess	create	全部资源 ``	无	无
csas:CreateClientUser	CreateClientUser	create	全部资源 ``	无	无
csas:CreateDynamicRoute	CreateDynamicRoute	create	全部资源 ``	无	无
csas:CreateEnterpriseAcceleratePolicy	CreateEnterpriseAcceleratePolicy	create	全部资源 ``	无	无
csas:CreateEnterpriseAccelerateTarget	CreateEnterpriseAccelerateTarget	create	全部资源 ``	无	无
csas:CreateIdpDepartment	CreateIdpDepartment	create	全部资源 ``	无	无
csas:CreatePrivateAccessApplication	CreatePrivateAccessApplication	create	全部资源 ``	无	无
csas:CreatePrivateAccessPolicy	CreatePrivateAccessPolicy	create	全部资源 ``	无	无
csas:CreatePrivateAccessTag	CreatePrivateAccessTag	create	全部资源 ``	无	无
csas:CreateRegistrationPolicy	CreateRegistrationPolicy	create	全部资源 ``	无	无
csas:CreateUserGroup	CreateUserGroup	create	全部资源 ``	无	无
csas:CreateWmBaseImage	CreateWmBaseImage	create	全部资源 ``	无	无
csas:CreateWmEmbedTask	CreateWmEmbedTask	create	全部资源 ``	无	无
csas:CreateWmExtractTask	CreateWmExtractTask	create	全部资源 ``	无	无
csas:CreateWmInfoMapping	CreateWmInfoMapping	create	全部资源 ``	无	无
csas:DeleteApprovalProcesses	DeleteApprovalProcesses	delete	全部资源 ``	无	无
csas:DeleteClientUser	DeleteClientUser	delete	全部资源 ``	无	无
csas:DeleteDynamicRoute	DeleteDynamicRoute	delete	全部资源 ``	无	无
csas:DeleteEnterpriseAcceleratePolicy	DeleteEnterpriseAcceleratePolicy	delete	全部资源 ``	无	无
csas:DeleteEnterpriseAccelerateTarget	DeleteEnterpriseAccelerateTarget	delete	全部资源 ``	无	无
csas:DeleteIdpDepartment	DeleteIdpDepartment	delete	全部资源 ``	无	无
csas:DeleteOtpConfig	DeleteOtpConfig	delete	全部资源 ``	无	无
csas:DeletePrivateAccessApplication	DeletePrivateAccessApplication	delete	全部资源 ``	无	无
csas:DeletePrivateAccessPolicy	DeletePrivateAccessPolicy	delete	全部资源 ``	无	无
csas:DeletePrivateAccessTag	DeletePrivateAccessTag	delete	全部资源 ``	无	无
csas:DeleteRegistrationPolicies	DeleteRegistrationPolicies	delete	全部资源 ``	无	无
csas:DeleteUserDevices	DeleteUserDevices	delete	全部资源 ``	无	无
csas:DeleteUserGroup	DeleteUserGroup	delete	全部资源 ``	无	无
csas:DetachApplication2Connector	DetachApplication2Connector	update	全部资源 ``	无	无
csas:DetachPolicy2ApprovalProcess	DetachPolicy2ApprovalProcess	delete	全部资源 ``	无	无
csas:DisableEnterpriseAcceleratePolicy	DisableEnterpriseAcceleratePolicy	update	全部资源 ``	无	无
csas:EnableEnterpriseAcceleratePolicy	EnableEnterpriseAcceleratePolicy	update	全部资源 ``	无	无
csas:ExportUserDevices	ExportUserDevices	list	全部资源 ``	无	无
csas:GetActiveIdpConfig	GetActiveIdpConfig	get	全部资源 ``	无	无
csas:GetApproval	GetApproval	get	全部资源 ``	无	无
csas:GetApprovalProcess	GetApprovalProcess	get	全部资源 ``	无	无
csas:GetApprovalSchema	GetApprovalSchema	get	全部资源 ``	无	无
csas:GetBootAndAntiUninstallPolicy	GetBootAndAntiUninstallPolicy	get	全部资源 ``	无	无
csas:GetClientUser	GetClientUser	get	全部资源 ``	无	无
csas:GetDynamicRoute	GetDynamicRoute	get	全部资源 ``	无	无
csas:GetIdpConfig	GetIdpConfig	get	全部资源 ``	无	无
csas:GetPrivateAccessApplication	GetPrivateAccessApplication	get	全部资源 ``	无	无
csas:GetPrivateAccessPolicy	GetPrivateAccessPolicy	get	全部资源 ``	无	无
csas:GetRegistrationPolicy	GetRegistrationPolicy	get	全部资源 ``	无	无
csas:GetUserDevice	GetUserDevice	get	全部资源 ``	无	无
csas:GetUserGroup	GetUserGroup	get	全部资源 ``	无	无
csas:GetWmEmbedTask	GetWmEmbedTask	get	全部资源 ``	无	无
csas:GetWmExtractTask	GetWmExtractTask	get	全部资源 ``	无	无
csas:ImportEnterpriseAccelerateTargets	ImportEnterpriseAccelerateTargets	create	全部资源 ``	无	无
csas:ListApplicationsForPrivateAccessPolicy	ListApplicationsForPrivateAccessPolicy	get	全部资源 ``	无	无
csas:ListApplicationsForPrivateAccessTag	ListApplicationsForPrivateAccessTag	get	全部资源 ``	无	无
csas:ListApprovalProcesses	ListApprovalProcesses	list	全部资源 ``	无	无
csas:ListApprovalProcessesForApprovalSchemas	ListApprovalProcessesForApprovalSchemas	list	全部资源 ``	无	无
csas:ListApprovalSchemas	ListApprovalSchemas	list	全部资源 ``	无	无
csas:ListApprovalSchemasForApprovalProcesses	ListApprovalSchemasForApprovalProcesses	list	全部资源 ``	无	无
csas:ListApprovals	ListApprovals	list	全部资源 ``	无	无
csas:ListClientUsers	ListClientUsers	get	全部资源 ``	无	无
csas:ListConnectors	ListConnectors	get	全部资源 ``	无	无
csas:ListDynamicDisposalProcesses	ListDynamicDisposalProcesses	list	全部资源 ``	无	无
csas:ListDynamicRouteRegions	ListDynamicRouteRegions	get	全部资源 ``	无	无
csas:ListDynamicRoutes	ListDynamicRoutes	get	全部资源 ``	无	无
csas:ListEnterpriseAccelerateLogs	ListEnterpriseAccelerateLogs	get	全部资源 ``	无	无
csas:ListEnterpriseAcceleratePolicies	ListEnterpriseAcceleratePolicies	get	全部资源 ``	无	无
csas:ListEnterpriseAccelerateTargets	ListEnterpriseAccelerateTargets	get	全部资源 ``	无	无
csas:ListExcessiveDeviceRegistrationApplications	ListExcessiveDeviceRegistrationApplications	list	全部资源 ``	无	无
csas:ListIdpConfigs	ListIdpConfigs	get	全部资源 ``	无	无
csas:ListIdpDepartments	ListIdpDepartments	get	全部资源 ``	无	无
csas:ListNacUserCert	ListNacUserCert	none	全部资源 ``	无	无
csas:ListPolicesForPrivateAccessApplication	ListPolicesForPrivateAccessApplication	get	全部资源 ``	无	无
csas:ListPolicesForPrivateAccessTag	ListPolicesForPrivateAccessTag	get	全部资源 ``	无	无
csas:ListPolicesForUserGroup	ListPolicesForUserGroup	get	全部资源 ``	无	无
csas:ListPopTrafficStatistics	ListPopTrafficStatistics	get	全部资源 ``	无	无
csas:ListPrivateAccessApplications	ListPrivateAccessApplications	get	全部资源 ``	无	无
csas:ListPrivateAccessApplicationsForDynamicRoute	ListPrivateAccessApplicationsForDynamicRoute	get	全部资源 ``	无	无
csas:ListPrivateAccessPolices	ListPrivateAccessPolices	get	全部资源 ``	无	无
csas:ListPrivateAccessTags	ListPrivateAccessTags	get	全部资源 ``	无	无
csas:ListPrivateAccessTagsForDynamicRoute	ListPrivateAccessTagsForDynamicRoute	get	全部资源 ``	无	无
csas:ListRegistrationPolicies	ListRegistrationPolicies	get	全部资源 ``	无	无
csas:ListRegistrationPoliciesForUserGroup	ListRegistrationPoliciesForUserGroup	get	全部资源 ``	无	无
csas:ListSoftwareForUserDevice	ListSoftwareForUserDevice	list	全部资源 ``	无	无
csas:ListTagsForPrivateAccessApplication	ListTagsForPrivateAccessApplication	get	全部资源 ``	无	无
csas:ListTagsForPrivateAccessPolicy	ListTagsForPrivateAccessPolicy	get	全部资源 ``	无	无
csas:ListUninstallApplications	ListUninstallApplications	list	全部资源 ``	无	无
csas:ListUserApplications	ListUserApplications	list	全部资源 ``	无	无
csas:ListUserDevices	ListUserDevices	list	全部资源 ``	无	无
csas:ListUserGroups	ListUserGroups	get	全部资源 ``	无	无
csas:ListUserGroupsForPrivateAccessPolicy	ListUserGroupsForPrivateAccessPolicy	get	全部资源 ``	无	无
csas:ListUserGroupsForRegistrationPolicy	ListUserGroupsForRegistrationPolicy	get	全部资源 ``	无	无
csas:ListUserPrivateAccessPolicies	ListUserPrivateAccessPolicies	list	全部资源 ``	无	无
csas:ListUsers	ListUsers	list	全部资源 ``	无	无
csas:LookupWmInfoMapping	LookupWmInfoMapping	get	全部资源 ``	无	无
csas:ModifyEnterpriseAcceleratePolicy	ModifyEnterpriseAcceleratePolicy	update	全部资源 ``	无	无
csas:RevokeUserSession	RevokeUserSession	none	全部资源 ``	无	无
csas:UpdateApprovalProcess	UpdateApprovalProcess	update	全部资源 ``	无	无
csas:UpdateApprovalStatus	UpdateApprovalStatus	update	全部资源 ``	无	无
csas:UpdateBootAndAntiUninstallPolicy	UpdateBootAndAntiUninstallPolicy	update	全部资源 ``	无	无
csas:UpdateClientUser	UpdateClientUser	update	全部资源 ``	无	无
csas:UpdateClientUserPassword	UpdateClientUserPassword	update	全部资源 ``	无	无
csas:UpdateClientUserStatus	UpdateClientUserStatus	update	全部资源 ``	无	无
csas:UpdateDynamicRoute	UpdateDynamicRoute	update	全部资源 ``	无	无
csas:UpdateExcessiveDeviceRegistrationApplicationsStatus	UpdateExcessiveDeviceRegistrationApplicationsStatus	update	全部资源 ``	无	无
csas:UpdateIdpDepartment	UpdateIdpDepartment	update	全部资源 ``	无	无
csas:UpdateNacUserCertStatus	UpdateNacUserCertStatus	none	全部资源 ``	无	无
csas:UpdatePrivateAccessApplication	UpdatePrivateAccessApplication	update	全部资源 ``	无	无
csas:UpdatePrivateAccessPolicy	UpdatePrivateAccessPolicy	update	全部资源 ``	无	无
csas:UpdateRegistrationPolicy	UpdateRegistrationPolicy	update	全部资源 ``	无	无
csas:UpdateUninstallApplicationsStatus	UpdateUninstallApplicationsStatus	update	全部资源 ``	无	无
csas:UpdateUserDevicesSharingStatus	UpdateUserDevicesSharingStatus	update	全部资源 ``	无	无
csas:UpdateUserDevicesStatus	UpdateUserDevicesStatus	update	全部资源 ``	无	无
csas:UpdateUserGroup	UpdateUserGroup	update	全部资源 ``	无	无
csas:UpdateUsersStatus	UpdateUsersStatus	update	全部资源 ``	无	无

资源（Resource）

办公安全平台（csas）不支持在RAM权限策略语句的Resource中指定资源ARN。如果要允许对办公安全平台（csas）的访问权限，请在策略语句中指定"Resource": "*"。

条件（Condition）

办公安全平台（csas）未定义产品级别的条件关键字。如需查看适用于所有云产品的通用条件关键字，请参见通用条件关键字。

授权信息

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作