Policy 基本元素
更新时间:2023-07-22 19:02:23
Policy 基本元素是权限策略的基本组成部分,IAM 中使用权限策略来描述授权的具体内容,了解 Policy 基本元素的基本知识可以帮助您更合理的使用权限策略。
Policy 基本元素
元素名称 | 描述 |
|---|---|
效力(Effect) | 授权效力包括两种:允许(Allow)和拒绝(Deny)。 |
操作(Action) | 操作是指对具体资源的操作。 |
资源(Resource) | 资源是指被授权的具体对象。 |
Policy 基本使用规则
- 效力(Effect)
效力取值 为 Allow 或 Deny,例如: “Effect”: “Allow” 。 - 操作(Action)
Action 支持多值,取值网宿科技服务所定义的操作名称。 格式: <service-name>:<action-name>
service-name: 网宿科技产品名称,例如:wos。
action-name: 相关的操作名称。
描述样例:
"Action": \["wos:ListBuckets"\]
- 资源(Resource)
Resource 通常指资源,即操作对象。
格式: wsc:<service-name>:<region>:<account>:<relative-id>
wsc: Wangsu Cconsole 的首字母缩写,表示网宿科技控制台。
service-name: 网宿科技产品名称,例如:wos。
region: 地区信息。如果不支持该项,可放空或使用通配符"*"号来代替。
account: 账号,即您的账号名(英文)。
relative-id: 与服务相关的资源描述部分,其语义由具体服务指定。这部分的格式支持树状结构(类似文件路径)。以 wos 为例,表示一个 WOS 对象的格式为:relative-id = “mybucket/dir1/object1.jpg” 。
描述样例:
"Resource": ["wsc:wos:*:*:mybucket", "wsc:wos:*:*:mybucket/*"]
权限策略样例
以下权限策略的含义:允许对 WOS 的 samplebucket 进行只读操作,并禁止对 WOS 的 samplebucket 进行写操作:
{
"Version": "1",
"Statement":
[{
"Effect":"Allow",
"Action": ["wos:List*", "wos:Get*"],
"Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"],
},
{
"Effect":"Deny",
"Action": ["wos:Delete*", "wos:Put*"],
"Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"],
}]
}
本篇文档内容对您是否有帮助?
有帮助
我要反馈