文档中心

上云无忧 > 文档中心 > 【天翼云】主子账号及权限管理 - 策略语言说明
天翼云
会员服务
简介/价格/文档
【天翼云】主子账号及权限管理 - 策略语言说明

文档简介:
策略语言说明 策略结构 权限管理策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。 策略版本号:Version,标识策略结构的版本号。 1.0:非权限管理。 1.1:权限管理。 策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。 【天翼云】注册账号
*产品来源:中国电信天翼云。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

策略结构

权限管理策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。

  • 策略版本号:Version,标识策略结构的版本号。

1.0:非权限管理。

1.1:权限管理。

  • 策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。

策略结构模型

策略基本元素

策略授权语句(Statement)描述的是策略的详细信息,包含作用(Effect)和授权项(Action)。

  • 作用(Effect)

作用包含两种:允许(Allow)和拒绝(Deny),当策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

  • 授权项(Action)

对资源的具体操作权限,支持单个或多个操作权限。

格式为:服务名:资源类型:操作,例如:vpc:ports:create。


  • 服务名:产品名称,例如ecs、evs和vpc等,服务名仅支持小写。

  • 资源类型和操作没有大小写要求,支持通配符号*,用户不需要罗列全部授权项,通过配置通配符号*可以方便快捷地实现授权。

策略样例

  • 支持单个操作权限,例如:查询弹性云主机详情权限

{

"Version": "1.1",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ecs:servers:list",

"ecs:servers:get",

"ecs:serverVolumes:use",

"ecs:diskConfigs:use",

"ecs:securityGroups:use",

"ecs:serverKeypairs:get",

"vpc:securityGroups:list",

"vpc:securityGroups:get",

"vpc:securityGroupRules:get",

"vpc:networks:get",

"vpc:subnets:get",

"vpc:ports:get",

"vpc:routers:get"

]

}

]

}

  • 支持多个操作权限,例如:锁定云服务器和创建云硬盘权限。

{

"Version": "1.1",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ecs:servers:lock",

"evs:volumes:create"

]

}

]

}

  • 通配符号*用法示例:对ECS服务资源的Tenant Guest权限。


ECS服务的Tenant Guest权限需要依赖EVS、VPC、IMS服务的Tenant Guest权限。

{

"Version": "1.1",

"Statement": [

{

"Effect": "Allow",

"Action": [

"ecs:*:get",

"ecs:*:list",

"ecs:serverGroups:manage",

"evs:*:get",

"evs:*:list",

"vpc:*:get",

"vpc:*:list",

"ims:*:get",

"ims:*:list"

]

}

]

}

策略语法

策略结构体不完整时,将不能通过系统的语法校验。

Policy = {

,


}


= "Version" : "1.1"


= "Statement": [,, …]


= {

,


}


= "Effect" : ("Allow" | "Deny")


= "Action": ("*" | [,,…])

l   策略中[ ]字符为允许多值的意思,当一个元素允许多值时,使用逗号和省略号来表达,比如[,, …],[,,…]。

l 多值之间如果用竖线 (|)隔开,表示取值只能选取这些值中的一个。比如:("Allow" | "Deny")。

l 当元素取值为数字时,与字符串类似,需要用双引号括起来。比如:= "Version" : "1.1"。

l 当元素取值为字符串(String)时,支持(*)模糊匹配来代表 0 个或多个任意的英文字母。

您还可以通过以下网站了解更多有关JSON的语法标准:

https://tools.ietf.org/html/rfc7159?spm=a2c4g.11186623.2.12.M8YmXV

检查规则

用户被授予的访问策略中可以包含多个授权语句,当策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。

用户访问资源时,权限检查逻辑如下:

说明:

每条策略做评估时, Action之间是或(or)的关系。

1. 用户发起操作请求,鉴权开始。

2. 在用户被授予的访问策略中,系统将优先寻找显式拒绝指令。如找到一个适用的显式拒绝,系统将返回Deny决定,鉴权结束。

3. 如果没有找到显式拒绝指令,系统将寻找适用于请求的任何Allow 指令。

如找到一个显式允许指令,系统将返回Allow决定,由服务继续处理该请求。

如果找不到显式允许,最终决定为Deny。

4. 如果代码在评估过程中的任意点遇到错误,它将生成异常并关闭。

相似文档
  • 【天翼云】主子账号及权限管理 - 创建自定义策略
    创建自定义策略 系统预置的权限不能满足要求时,您可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。 1、在服务列表,选择“管理与部署 > 统一身份认证服务”。在左侧导航窗格中,单击“策略”。在“策略”界面,单击“创建自定义策略”。 【天翼云】注册账号
  • 【天翼云】主子账号及权限管理 - 修改/启用/停用企业项目
    在企业管理页面,选择“企业项目管理”。选择待修改企业项目,单击操作列【修改】。弹出“修改企业项目”页面。修改“名称”或“描述”。单击“确定”,完成修改。 【天翼云】注册账号
  • 【天翼云】主子账号及权限管理 - 新购云资源选择企业项目
    在购买云资源页面,您可以选择已启用的企业项目,新购云资源将可按此企业项目进行管理。 以弹性云主机为例,在购买弹性云主机页面,进行如下配置: 高级配置:“现在配置”。 企业项目:在下拉列表中选择目标企业项目。 【天翼云】注册账号
  • 【天翼云】主子账号及权限管理 - 迁出资源
    在企业管理页面,选择“企业项目管理”。选择待查看的企业项目,单击操作列【查看资源】。 进入企业项目详情页面,在“资源”页签下可查看该企业项目内资源信息。 1、在列表中选择待迁除资源,单击【迁出】,弹出“迁除资源”页面。 【天翼云】注册账号
  • 【天翼云】主子账号及权限管理 - 移除用户组
    此处的移除用户组是将企业项目中已添加的用户组移除。 在企业管理页面,选择“企业项目管理”。选择待查看的企业项目,单击操作列【查看用户组】。 进入企业项目详情页面,在“用户组”页签下可查看该企业项目用户组信息。 【天翼云】注册账号
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部