Tablestore支援通過RAM Policy、Control Policy、Network ACL和Instance Policy實現對Tablestore資源的許可權控制。
許可權控制方式
Tablestore支援使用的許可權控制方式包括RAM權限原則RAM Policy、管控策略Control Policy、Network ACL和執行個體策略Instance Policy。多種許可權控制方式支援組合使用,請根據實際配置。
存取控制RAM中的權限原則(RAM Policy)是一種基於使用者的授權策略,可以集中管理您的使用者(例如員工、系統或應用程式)以及控制使用者訪問資源的許可權。
資源管理Resource Management中的資來源目錄的管控策略(Control Policy)是一種基於資源結構(資源夾或成員)的存取控制策略,可以統一管理資來源目錄各層級內資源訪問的許可權邊界。
Tablestore中的NetWork ACL是基於資源的網路存取控制功能,可以為單個執行個體配置網路訪問方式。
Tablestore中的Instance Policy是基於資源的授權策略,可以為單個執行個體配置存取權限。
授權說明
不同許可權控制方式的適用對應以及能實現的授權情境說明請參見下表。
許可權控制方式 | 適用情境 | 歸屬服務 | 適用對象 | 授權說明 |
單一阿里雲帳號下多個RAM使用者、STS訪問的許可權管理。 | 存取控制 | 首次使用Tablestore時,通過RAM Policy為RAM使用者授權或者使用臨時訪問憑證訪問Tablestore。具體操作,請參見通過RAM Policy為RAM使用者授權。 |
| |
企業級組織架構下,各個部門的不同阿里雲帳號的統一安全性原則控制。只能拒絕訪問,不能授權。 | 資源管理 | 使用企業帳號時,通過資來源目錄的Control Policy統一管理企業人員的許可權。具體操作,請參見通過Control Policy授權。 |
| |
單一阿里雲帳號下Tablestore服務內單個執行個體上的統一網路存取控制。 | Table Store | 使用Tablestore資源時,通過Network ACL控制執行個體的網路訪問類型或訪問來源。具體操作,請參見為執行個體配置NetWork ACL。 |
| |
單一阿里雲帳號下Tablestore服務內單個執行個體上的細粒度API許可權管理。 | Table Store | 使用Tablestore資源時,通過Instance Policy控制執行個體的訪問來源。具體操作,請參見為執行個體配置Instance Policy。 | 限制訪問Tablestore執行個體的用戶端IP地址、用戶端所屬VPC、用戶端使用的TLS版本等。 |
許可權生效說明
當為RAM使用者同時配置了RAM Policy、Control Policy、Network ACL和Instance Policy時,請根據如下條件判斷使用者是否具有某個操作許可權。
Control Policy中不能是拒絕相應操作許可權的條件。
在Instance Policy和RAM Policy中至少有一個條件對操作進行了授權。
如果Instance Policy或者RAM Policy對同一個操作即進行授權又進行拒絕,則理解為拒絕,即使用者無相應操作許可權。