数字证书管理服务为RAM权限策略定义的操作、资源和条件_数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用 RAM 可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM 中使用权限策略描述授权的具体内容。

本文为您介绍 数字证书管理服务（原SSL证书） 为 RAM 权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。 数字证书管理服务（原SSL证书） 的 RAM 代码（RamCode）为 yundun-cert ，支持的授权粒度为 操作级 。

权限策略通用结构

权限策略支持 JSON 格式，其通用结构如下：

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}

各字段含义如下：

Effect：权限策略效果。取值：Allow（允许）、Deny（拒绝）。
Action：授予允许或拒绝权限的具体操作。具体信息，请参见操作（Action）。
Resource：受操作影响的具体对象，您可以使用资源 ARN 来描述指定资源。具体信息，请参见资源（Resource）。
Condition：指授权生效的条件。可选字段。具体信息，请参见条件（Condition）。
- Condition_operator：条件运算符，不同类型的条件对应不同的条件运算符。具体信息，请参见权限策略基本元素。
- Condition_key：条件关键字。
- Condition_value：条件关键字对应的值。

操作（Action）

下表是数字证书管理服务（原SSL证书）定义的操作，这些操作可以在 RAM 权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：

操作：是指具体的权限点。
API：是指操作对应的 API 接口。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用前面加 * 表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。该列不体现适用于任何操作的通用条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	API	访问级别	资源类型	条件关键字	关联操作
yundun-cert:ListWorkerResource	ListWorkerResource	list	全部资源 ``	无	无
yundun-cert:DescribeCloudResourceStatus	DescribeCloudResourceStatus	get	全部资源 ``	无	无
yundun-cert:DeleteCertificateRequest	DeleteCertificateRequest	delete	全部资源 ``	无	无
yundun-cert:UploadCsr	UploadCsr	get	全部资源 ``	无	无
yundun-cert:DescribeDeploymentJobStatus	DescribeDeploymentJobStatus	get	全部资源 ``	无	无
yundun-cert:CreateWHClientCertificate	CreateWHClientCertificate	create	全部资源 ``	无	无
yundun-cert:ListCert	ListCert	get	全部资源 ``	无	无
yundun-cert:CreateCertificateRequest	CreateCertificateRequest	create	全部资源 ``	无	无
yundun-cert:ListCsr	ListCsr	list	全部资源 ``	无	无
yundun-cert:DeleteWarehouse	DeleteWarehouse	delete	全部资源 ``	无	无
yundun-cert:Sign	Sign	none	全部资源 ``	无	无
yundun-cert:CancelCertificateForPackageRequest	CancelCertificateForPackageRequest	update	全部资源 ``	无	无
yundun-cert:CreateCsr	CreateCsr	create	全部资源 ``	无	无
yundun-cert:UploadPCACert	UploadPCACert	create	全部资源 ``	无	无
yundun-cert:CreateCertificateForPackageRequest	CreateCertificateForPackageRequest	create	全部资源 ``	无	无
yundun-cert:DeleteDeploymentJob	DeleteDeploymentJob	delete	全部资源 ``	无	无
yundun-cert:DescribeCertificateState	DescribeCertificateState	get	全部资源 ``	无	无
yundun-cert:ListUserCertificateOrder	ListUserCertificateOrder	list	全部资源 ``	无	无
yundun-cert:DescribeWarehouseCert	DescribeWarehouseCert	get	全部资源 ``	无	无
yundun-cert:ListCertWarehouse	ListCertWarehouse	list	全部资源 ``	无	无
yundun-cert:UpdateCsr	UpdateCsr	get	全部资源 ``	无	无
yundun-cert:GetCsrDetail	GetCsrDetail	get	全部资源 ``	无	无
yundun-cert:GetCertWarehouseQuota	GetCertWarehouseQuota	get	全部资源 ``	无	无
yundun-cert:DescribePackageState	DescribePackageState	get	全部资源 ``	无	无
yundun-cert:ListAssetCount	ListAssetCount	list	全部资源 ``	无	无
yundun-cert:CancelOrderRequest	CancelOrderRequest	update	全部资源 ``	无	无
yundun-cert:UpdateWorkerResourceStatus	UpdateWorkerResourceStatus	update	全部资源 ``	无	无
yundun-cert:Decrypt	Decrypt	none	全部资源 ``	无	无
yundun-cert:ListDeploymentJobCert	ListDeploymentJobCert	list	全部资源 ``	无	无
yundun-cert:DeleteCloudAccess	DeleteCloudAccess	delete	全部资源 ``	无	无
yundun-cert:CreateWarehouse	CreateWarehouse	create	全部资源 ``	无	无
yundun-cert:ListWarehouseCert	ListWarehouseCert	list	全部资源 ``	无	无
yundun-cert:DescribeDeployment	DescribeDeploymentJob	get	全部资源 ``	无	无
yundun-cert:DeleteCsr	DeleteCsr	delete	全部资源 ``	无	无
yundun-cert:GetUserCertificateDetail	GetUserCertificateDetail	get	全部资源 ``	无	无
yundun-cert:UpdateAssetCount	UpdateAssetCount	update	全部资源 ``	无	无
yundun-cert:UploadUserCertificate	UploadUserCertificate	create	全部资源 ``	无	无
yundun-cert:CreateCertificateWithCsrRequest	CreateCertificateWithCsrRequest	create	全部资源 ``	无	无
yundun-cert:CreateDeploymentJob	CreateDeploymentJob	create	全部资源 ``	无	无
yundun-cert:ListDeploymentJob	ListDeploymentJob	list	全部资源 ``	无	无
yundun-cert:DeletePCACert	DeletePCACert	delete	全部资源 ``	无	无
yundun-cert:UpdateDeploymentJobStatus	UpdateDeploymentJobStatus	update	全部资源 ``	无	无
yundun-cert:ListDeploymentJobResource	ListDeploymentJobResource	list	全部资源 ``	无	无
yundun-cert:GetAssetCount	GetAssetCount	get	全部资源 ``	无	无
yundun-cert:ListCloudResources	ListCloudResources	list	全部资源 ``	无	无
yundun-cert:GetRiskCount	GetRiskCount	get	全部资源 ``	无	无
yundun-cert:ListContact	ListContact	list	全部资源 ``	无	无
yundun-cert:RenewCertificateOrderForPackageRequest	RenewCertificateOrderForPackageRequest	create	全部资源 ``	无	无
yundun-cert:ListCloudAccess	ListCloudAccess	list	全部资源 ``	无	无
yundun-cert:RevokeWHClientCertificate	RevokeWHClientCertificate	update	全部资源 ``	无	无
yundun-cert:DeleteWorkerResource	DeleteWorkerResource	delete	全部资源 ``	无	无
yundun-cert:MoveResourceGroup	MoveResourceGroup	update	全部资源 ``	无	无
yundun-cert:DeleteUserCertificate	DeleteUserCertificate	delete	全部资源 ``	无	无
yundun-cert:Encrypt	Encrypt	none	全部资源 ``	无	无
yundun-cert:UpdateDeploymentJob	UpdateDeploymentJob	update	全部资源 ``	无	无
yundun-cert:Verify	Verify	none	全部资源 ``	无	无
yundun-cert:AddCloudAccess	AddCloudAccess	create	全部资源 ``	无	无
yundun-cert:ListWarehouse	ListWarehouse	list	全部资源 ``	无	无

资源（Resource）

下表是数字证书管理服务（原SSL证书）定义的资源，这些资源可以在 RAM 权限策略语句的Resource元素中使用，用来授予对该资源执行具体操作的权限。其中，资源 ARN 是资源在阿里云上的唯一标识。具体说明如下：

{#}为变量标识，需要您替换为实际值。例如：{#ramcode}需要您替换为实际的云服务RAM代码。
*表示全部。例如：
- {#resourceType}为*时：表示全部资源。
- {#regionId}为*时：表示全部地域。
- {#accountId}为*时：表示全部阿里云账号。

资源类型	资源 ARN
Certificate	acs:yundun-cert::{#accountId}:
Certificate	acs:sslcertificatesservice::{#accountId}:certificate/{#CertId}

条件（Condition）

下表是数字证书管理服务（原SSL证书） 定义的产品级条件关键字，这些条件关键字可以在 RAM 权限策略语句的Condition元素中使用，用来描述授予权限的条件。以下仅列举产品级的条件关键字，阿里云定义的通用条件关键字也同样适用数字证书管理服务（原SSL证书）。

其中，数据类型决定了您可以使用哪些条件运算符将请求中的值与权限策略语句中的值进行比较。您必须使用与数据类型匹配的条件运算符，否则无法匹配策略语句，授权行为无效。数据类型与条件运算符的对应关系，请参见条件操作类型。

条件关键字	描述	类型
acs:ResourceGroupId	资源组权限	String

授权信息

权限策略通用结构

操作（Action）

资源（Resource）

条件（Condition）

相关操作