阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1633阅读
  • 0回复

[云安全技术和产品专区 ]访问控制权限与授权策略

级别: 论坛粉丝
发帖
1227
云币
2325
阿里使用权限来描述内部身份(如用户、用户组、角色)对具体资源的访问能力。权限指在某种条件下 [backcolor=transparent]允许 (Allow) 或 [backcolor=transparent]拒绝 (Deny) 对某些资源执行某些操作。权限的载体是授权策略,授权策略是一组访问权限的集合。 UL{+mp  
本文梳理了阿里云权限与授权策略的相关属性,帮助您正确理解和使用它们。 s3(mkdXv  
权限 *5|;eN  
  • 主账户(资源 Owner)控制所有权限每个资源有且仅有一个属主(资源 Owner)。该属主必须是云账户,是对资源付费的人,对资源拥有完全控制权限。
  • 资源属主不一定是资源创建者。比如,一个 RAM 用户被授予创建资源的权限,该用户创建的资源归属于主账户,该用户是资源创建者但不是资源属主。
,9A1p06  
RAM 用户(操作员)默认无任何权限
  • RAM 用户代表的是操作员,其所有操作都需被显式授权。
  • 新建 RAM 用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和 API 操作资源。
!.2tv  
资源创建者(RAM 用户)不会动拥有对所创建资源的任何权限
  • 如果 RAM 用户被授予创建资源的权限,用户将可以创建资源。
  • 但是 RAM 用户不会自动拥有对所创建资源的任何权限,除非资源 Owner 对他有显式的授权。
lEZODc+%Y  
授权策略 k.."_ 4  
授权策略(Policy)是用 访问策略语言 所描述的一组权限,它可以精确地描述被授权的资源集、操作集以及授权条件。当授权策略中既有 Allow 又有 Deny 的授权语句时,遵循 [backcolor=transparent]Deny 优先 的原则。 _i3?;Fds  
在 RAM 中,访问策略是一种资源实体,用户可以创建、更新、删除和查看访问策略。RAM 支持以下两种授权策略:
  • [backcolor=transparent]系统访问策略:由阿里云创建和管理的一组常用的权限集,比如对 ECS 的只读权限、对 ECS 的完全权限等;用户只能使用而不能修改
  • [backcolor=transparent]自定义访问策略:由用户自己创建和管理的权限集,是对系统访问策略的扩展和补充。
:P2{^0$  
系统访问策略所描述的权限粒度较粗,如果用户需要更精细的授权描述,比如精确控制对某个 ECS 实例的权限或添加授权条件限制,则需要用户创建自定义授权策略。 n-"(lWcp  
给 RAM 用户授权 T!f+H?6  
给 RAM 用户授权,指给用户、用户组或角色绑定一个或多个授权策略。
  • 绑定的授权策略可以是系统授权策略也可以是自定义授权策略。
  • 如果绑定的授权策略被更新,更新后的授权策略自动生效,无需重新绑定授权策略。
xK*G'3Ge  
[ 此帖被反向一觉在2017-10-31 14:44重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)