RAM(Resource Access Management)是阿里雲提供的系統管理使用者身份與資源訪問的服務。使用RAM,您可以建立、管理RAM使用者(例如員工、系統或應用程式),以及控制RAM使用者對資源的操作許可權,例如限制您的RAM使用者只擁有對某一個檔案系統的操作許可權。
警告 授予RAM使用者對NAS檔案系統的存取控制許可權時,請遵循最小授權原則,選擇合理的授權範圍。授權範圍過大有安全風險。
為RAM使用者授權的流程
- 建立RAM使用者。具體操作,請參見建立RAM使用者。
- 選擇需要授予RAM使用者的權限原則。權限原則分為系統策略和自訂策略。
- 系統策略:阿里雲提供多種具有不同管理目的的預設權限原則。NAS常用的系統策略包括以下兩種:
- AliyunNASFullAccess(不推薦):為RAM使用者授予NAS檔案系統的完全系統管理權限。該許可權風險很高,不推薦使用。
- AliyunNASReadOnlyAccess:為RAM使用者授予NAS檔案系統的唯讀存取權限。
- 自訂策略:自訂權限原則可以更大程度的滿足您的細粒度的要求,從而實現更靈活的許可權管理。
您可以結合實際使用情境,並參照下文列舉的常見自訂策略樣本,然後通過指令碼配置方式建立自訂策略。具體操作,請參見建立自訂權限原則。
- 系統策略:阿里雲提供多種具有不同管理目的的預設權限原則。NAS常用的系統策略包括以下兩種:
- 為RAM使用者授權。
樣本一:授權RAM使用者對檔案系統的許可權
授予RAM使用者擁有對檔案系統的完全控制許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
說明 由於RAM不支援授予RAM使用者單一檔案系統的查看許可權,當要授予RAM使用者單一檔案系統完全控制許可權時,請您先授予RAM使用者全部檔案系統的查看許可權,然後再授予RAM使用者單一檔案系統的操作(刪除、修改)許可權。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "nas:*",
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
},
{
"Effect": "Allow",
"Action": "nas:CreateMountTarget",
"Resource": "acs:vpc:*:*:vswitch/*"
},
{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"nas:DescribeAccessGroups",
"nas:DescribeAccessRules"
],
"Resource": "acs:nas:*:*:accessgroup/*"
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*"
}
]
}授予RAM使用者修改檔案系統屬性的許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:DescribeFileSystems",
"nas:ModifyFileSystem"
],
"Resource": "acs:nas:*:*:filesystem/07d****294"
}],
"Version": "1"
}授予RAM使用者查看所有檔案系統的許可權
{
"Statement": [{
"Effect": "Allow",
"Action": "nas:DescribeFileSystems",
"Resource": "*"
}],
"Version": "1"
}樣本二:授權RAM使用者對檔案系統掛載點的許可權
授予RAM使用者對檔案系統(執行個體ID:
07d****294)的掛載點擁有完全控制許可權。{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateMountTarget",
"nas:DescribeMountTargets",
"nas:ModifyMountTarget",
"nas:DeleteMountTarget"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294",
"acs:vpc:*:*:vswitch/*"
]
}],
"Version": "1"
}樣本三:授權RAM使用者對檔案系統許可權組的許可權
授予RAM使用者對所有檔案系統許可權組擁有完全控制許可權。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:CreateAccessGroup",
"nas:DescribeAccessGroups",
"nas:ModifyAccessGroup",
"nas:DeleteAccessGroup",
"nas:CreateAccessRule",
"nas:DescribeAccessRules",
"nas:ModifyAccessRule",
"nas:DeleteAccessRule"
],
"Resource": "acs:nas:*:*:accessgroup/*"
}],
"Version": "1"
}樣本四:授權RAM使用者查看檔案系統效能監控指標的許可權
授予RAM使用者通過控制台查看任一檔案系統效能監控指標的許可權。
{
"Statement": [{
"Effect": "Allow",
"Action": "cms:Query*",
"Resource": "*"
}],
"Version": "1"
}樣本五:授權RAM使用者對檔案系統資源回收筒的系統管理權限
授予RAM使用者擁有對檔案系統資源回收筒完全控制的許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:DisableAndCleanRecycleBin ",
"nas:UpdateRecycleBinAttribute",
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM使用者恢複檔案系統資源回收筒中暫存檔案的許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinRestoreJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM使用者徹底刪除檔案系統資源回收筒中暫存檔案的許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:GetRecycleBinAttribute",
"nas:CreateRecycleBinDeleteJob",
"nas:CancelRecycleBinJob",
"nas:ListRecycleBinJobs",
"nas:ListRecycledDirectoriesAndFiles",
"nas:ListRecentlyRecycledDirectories"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}授予RAM使用者修改檔案系統資源回收筒配置的許可權
07d****294為檔案系統執行個體ID,請根據實際值替換。
{
"Statement": [{
"Effect": "Allow",
"Action": [
"nas:EnableRecycleBin",
"nas:UpdateRecycleBinAttribute",
"nas:DisableAndCleanRecycleBin",
"nas:GetRecycleBinAttribute"
],
"Resource": [
"acs:nas:*:*:filesystem/07d****294"
]
}
],
"Version": "1"
}附錄:自訂權限原則鑒權列表
您可以通過RAM控制台建立一個自訂策略,當配置模式為指令碼配置時,您需要根據JSON模板檔案填寫策略內容。其中的Action和Resource參數取值請參見如下鑒權列表。更多資訊,請參見權限原則基本元素。
| API | Action | Resource | 說明 | |
| 檔案系統 | CreateFileSystem | nas:CreateFileSystem | acs:nas:<region>:<account-id>:filesystem/* | 建立檔案系統。 |
| DeleteFileSystem | nas:DeleteFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 刪除檔案系統。 | |
| ModifyFileSystem | nas:ModifyFileSystem | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改檔案系統配置。 | |
| DescribeFileSystems | nas:DescribeFileSystems | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出檔案系統執行個體。 | |
| 掛載點 | CreateMountTarget | nas:CreateMountTarget |
| 建立掛載點。 |
| DeleteMountTarget | nas:DeleteMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 刪除掛載點。 | |
| ModifyMountTarget | nas:ModifyMountTarget | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 修改掛載點配置。 | |
| DescribeMountTargets | nas:DescribeMountTargets | acs:nas:<region>:<account-id>:filesystem/<filesystemid> | 列出檔案系統掛載點。 | |
| 許可權組 | CreateAccessGroup | nas:CreateAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 建立許可權組。 |
| DeleteAccessGroup | nas:DeleteAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 刪除許可權組。 | |
| ModifyAccessGroup | nas:ModifyAccessGroup | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改許可權組。 | |
| DescribeAccessGroups | nas:DescribeAccessGroups | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出許可權組。 | |
| CreateAccessRule | nas:CreateAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 添加許可權組規則。 | |
| DeleteAccessRule | nas:DeleteAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 刪除許可權組規則。 | |
| ModifyAccessRule | nas:ModifyAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 修改許可權組規則。 | |
| DescribeAccessRule | nas:DescribeAccessRule | acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> | 列出許可權組規則。 | |