權限原則概覽

許可權（Permission）

阿里雲使用許可權來描述RAM身份（RAM使用者、RAM使用者組、RAM角色）對具體資源的訪問能力，具體如下：

• 阿里雲帳號（資源屬主）控制所有許可權。

  • 每個資源有且僅有一個資源屬主，該資源屬主必須是阿里雲帳號，對資源擁有完全控制許可權。

  • 資源屬主不一定是資源建立者。例如：一個RAM身份被授予建立資源的許可權，該RAM身份建立的資源歸屬於阿里雲帳號，該RAM身份是資源建立者但不是資源屬主。

• RAM身份（操作員）預設無任何許可權。

  • RAM身份代表的是操作員，其所有操作都需被阿里雲帳號顯式授權。

  • 建立的RAM身份預設沒有任何操作許可權，只有在被授權之後，才能通過控制台和API操作資源。

權限原則（Policy）

權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範，請參見權限原則基本元素和權限原則文法和結構。

RAM支援以下兩種權限原則：

• 阿里雲管理的系統權限原則：統一由阿里雲建立，使用者只能使用，不能修改，策略的版本更新由阿里雲維護。

• 使用者管理的自訂權限原則：使用者可以自主建立、更新和刪除，策略的版本更新由使用者自己維護。

通過為RAM身份綁定權限原則，可以獲得權限原則中指定的存取權限。具體操作，請參見為RAM使用者授權、為RAM使用者組授權和為RAM角色授權。

為RAM身份授權

為RAM身份授權，指為RAM使用者、RAM使用者組或RAM角色綁定一個或多個權限原則。

• 綁定的權限原則可以是系統策略也可以是自訂策略。

• 如果綁定的權限原則被更新，更新後的權限原則會自動在RAM身份上生效，無需重新綁定權限原則。