文档中心 访问控制 Basic Elements of Policy

Basic Elements of Policy

更新时间:2023-12-13 19:54:39

Policy 基本元素是权限策略的基本组成部分,IAM 中使用权限策略来描述授权的具体内容,了解 Policy 基本元素的基本知识可以帮助您更合理的使用权限策略。

Policy 基本元素

元素名称

描述

效力(Effect)

授权效力包括两种:允许(Allow)和拒绝(Deny)。

操作(Action)

操作是指对具体资源的操作。

资源(Resource)

资源是指被授权的具体对象。

Policy 基本使用规则

  • 效力(Effect)
    效力取值 为 Allow 或 Deny,例如: “Effect”: “Allow” 。
  • 操作(Action)
    Action 支持多值,取值网宿科技服务所定义的操作名称。 格式: <service-name>:<action-name>
    service-name: 网宿科技产品名称,例如:wos。
    action-name: 相关的操作名称。
    描述样例:
"Action": \["wos:ListBuckets"\]
  • 资源(Resource)
    Resource 通常指资源,即操作对象。
    格式: wsc:<service-name>:<region>:<account>:<relative-id>
    wsc: Wangsu Cconsole 的首字母缩写,表示网宿科技控制台。
    service-name: 网宿科技产品名称,例如:wos。
    region: 地区信息。如果不支持该项,可放空或使用通配符"*"号来代替。
    account: 账号,即您的账号名(英文)。
    relative-id: 与服务相关的资源描述部分,其语义由具体服务指定。这部分的格式支持树状结构(类似文件路径)。以 wos 为例,表示一个 WOS 对象的格式为:relative-id = “mybucket/dir1/object1.jpg” 。
    描述样例:
"Resource": ["wsc:wos:*:*:mybucket", "wsc:wos:*:*:mybucket/*"]

权限策略样例

以下权限策略的含义:允许对 WOS 的 samplebucket 进行只读操作,并禁止对 WOS 的 samplebucket 进行写操作:

{
      "Version": "1", 
      "Statement":
        [{
           "Effect":"Allow",  
           "Action": ["wos:List*", "wos:Get*"], 
           "Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"],
           },
          {
           "Effect":"Deny",  
           "Action": ["wos:Delete*", "wos:Put*"], 
           "Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"],
        }]
}
本篇文档内容对您是否有帮助?
有帮助
我要反馈
提交成功!非常感谢您的反馈,我们会继续努力做到更好!