权限控制概述

表格存储支持通过RAM Policy、Control Policy、Network ACLInstance Policy实现对表格存储资源的权限控制。

权限控制方式

表格存储支持使用的权限控制方式包括RAM权限策略RAM Policy、管控策略Control Policy、Network ACL和实例策略Instance Policy。多种权限控制方式支持组合使用,请根据实际配置。

  • 访问控制RAM中的权限策略(RAM Policy)是一种基于用户的授权策略,可以集中管理您的用户(例如员工、系统或应用程序)以及控制用户访问资源的权限。

  • 资源管理Resource Management中的资源目录的管控策略(Control Policy)是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界。

  • 表格存储中的NetWork ACL是基于资源的网络访问控制功能,可以为单个实例配置网络访问方式。

  • 表格存储中的Instance Policy是基于资源的授权策略,可以为单个实例配置访问权限。

授权说明

不同权限控制方式的适用对应以及能实现的授权场景说明请参见下表。

权限控制方式

适用场景

归属服务

适用对象

授权说明

RAM Policy

单一阿里云账号下多个RAM用户、STS访问的权限管理。

访问控制

首次使用表格存储时,通过RAM PolicyRAM用户授权或者使用临时访问凭证访问表格存储。具体操作,请参见通过RAM PolicyRAM用户授权

  • 对同一账号下的不同RAM用户授予相同权限。

  • 对所有表格存储资源或者多个实例配置相同权限。

  • 限制访问表格存储资源时的客户端IP地址、HTTPS协议访问、访问时间、使用的TLS版本等。

  • 通过临时访问凭证访问表格存储资源。

Control Policy

企业级组织架构下,各个部门的不同阿里云账号的统一安全策略控制。只能拒绝访问,不能授权。

资源管理

使用企业账号时,通过资源目录的Control Policy统一管理企业人员的权限。具体操作,请参见通过Control Policy授权

  • 限制访问表格存储时使用的TLS版本。

  • 限制只能创建非公网访问的表格存储实例。

Network ACL

单一阿里云账号下Tablestore服务内单个实例上的统一网络访问控制。

表格存储

使用表格存储资源时,通过Network ACL控制实例的网络访问类型或访问来源。具体操作,请参见为实例配置NetWork ACL

  • 限制是否允许使用控制台访问表格存储实例中资源。

  • 限制允许使用何种网络类型访问表格存储实例。

Instance Policy

单一阿里云账号下Tablestore服务内单个实例上的细粒度API权限管理。

表格存储

使用表格存储资源时,通过Instance Policy控制实例的访问来源。具体操作,请参见为实例配置Instance Policy

限制访问表格存储实例的客户端IP地址、客户端所属VPC、客户端使用的TLS版本等。

权限生效说明

当为RAM用户同时配置了RAM Policy、Control Policy、Network ACLInstance Policy时,请根据如下条件判断用户是否具有某个操作权限。

  1. Control Policy中不能是拒绝相应操作权限的条件。

  2. Instance PolicyRAM Policy中至少有一个条件对操作进行了授权。

    如果Instance Policy或者RAM Policy对同一个操作即进行授权又进行拒绝,则理解为拒绝,即用户无相应操作权限。