权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。
权限(Permission)
阿里云使用权限来描述RAM身份(RAM用户、RAM用户组、RAM角色)对具体资源的访问能力,具体如下:
阿里云账号(资源属主)控制所有权限。
每个资源有且仅有一个资源属主,该资源属主必须是阿里云账号,对资源拥有完全控制权限。
资源属主不一定是资源创建者。例如:一个RAM身份被授予创建资源的权限,该RAM身份创建的资源归属于阿里云账号,该RAM身份是资源创建者但不是资源属主。
RAM身份(操作员)默认无任何权限。
RAM身份代表的是操作员,其所有操作都需被阿里云账号显式授权。
新建的RAM身份默认没有任何操作权限,只有在被授权之后,才能通过控制台和API操作资源。
权限策略(Policy)
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。RAM支持的权限策略基本元素和语言规范,请参见权限策略基本元素和权限策略语法和结构。
RAM支持以下两种权限策略:
阿里云管理的系统权限策略:统一由阿里云创建,用户只能使用,不能修改,策略的版本更新由阿里云维护。
用户管理的自定义权限策略:用户可以自主创建、更新和删除,策略的版本更新由用户自己维护。
通过为RAM身份绑定权限策略,可以获得权限策略中指定的访问权限。具体操作,请参见为RAM用户授权、为RAM用户组授权和为RAM角色授权。
为RAM身份授权
为RAM身份授权,指为RAM用户、RAM用户组或RAM角色绑定一个或多个权限策略。
绑定的权限策略可以是系统策略也可以是自定义策略。
如果绑定的权限策略被更新,更新后的权限策略会自动在RAM身份上生效,无需重新绑定权限策略。