本文介紹RAM策略編輯器的使用方法。
地址
使用
RAM授權策略由若干條規則群組成。使用RAM策略編輯器,可以在介面上逐條添加或刪除規則,並自動建置原則的JSON文本。添加所有規則後,只需要將JSON文本拷貝並粘貼到存取控制(RAM)控制台的建立授權策略內容框內即可使用。具體操作,請參見建立自訂權限原則。
RAM策略編輯器中,每條規則需要設定其Effect、Actions、Resources和Conditions:
Effect
指定這條規則是允許訪問(Allow)還是禁止訪問(Deny)。
Actions
指定訪問資源的動作,可以選擇多項。一般來說使用者使用提供的通配動作就足夠了:
oss:*表示允許所有動作。oss:Get*表示允許所有的讀動作。oss:Put*表示允許所有的寫動作。
更多資訊,請參見RAM Policy Editor README。
Resources
指定授權訪問的OSS的資源,可以指定多個。Resources常見情境如下:
表示某個Bucket:
my-bucket(此時對bucket下的檔案沒有許可權)表示某個Bucket下面所有檔案:
my-bucket/*(此時對bucket本身沒有許可權,例如ListObjects)表示某個Bucket下某個目錄:
my-bucket/dir(此時對dir/下面的檔案沒有許可權)表示某個Bucket下某個目錄下面所有檔案:
my-bucket/dir/*(此時對dir沒有許可權,例如ListObjects)填寫完整的資源路徑:
acs:oss:*:174649585760xxxx:my-bucket/dir,其中174649585760xxxx為使用者的UID(可在控制台查看)
EnablePath
當您需要對某個目錄授權時,往往還需要保證對上一層目錄也有List許可權,例如對
my-bucket/users/dir/*賦予讀寫權限,為了在控制台(或其他工具)能夠查看這個目錄,還需要以下許可權:ListObjects my-bucket ListObjects my-bucket/users ListObjects my-bucket/users/dir勾選EnablePath選項時,會自動添加以上許可權。
Conditions
指定授權訪問時應該滿足的條件,可以指定多個。
樣本
授權對my-bucket及其檔案所有許可權樣本如下:
