最近更新时间:2022.10.14 19:12:05
首次发布时间:2022.10.14 19:12:05
管控策略与IAM策略类似,是对权限的一种描述,能够划定企业组织中成员账号的最大权限范围。管控策略不直接授予权限,授予权限依然需要通过设定账号下的IAM权限,请参考IAM策略语法。
管控策略通过写为JSON格式文件的策略语法表达,策略语法由以下几个元素组成:
| 元素名称 | 描述 |
|---|---|
| 声明 / Statement | 策略的声明是对策略语句的封装,可包含单条语句或由多条语句组成的数组。单独的语句块需要使用用大括号 { } 括起。存在多条语句时,数组需要使用方括号 [ ] 括起。 |
| 效果 / Effect | 标识声明所产生的结果是“允许”还是“显式拒绝”,目前仅支持Deny,仅在系统预设策略中可以取值为Allow。 |
| 操作 / Action | 指具体的操作,由云服务的英文服务名加云服务的英文操作名两部分组成,格式为:{service}:{action},其中{service}可从各云服务的API文档中查询,{action}通常与云服务的API的Action同值(如有例外,云服务文档中会特别注明。),{action}由数组形式表达,支持"*"及"?"两种通配符。 |
| 资源 / Resource | 指定动作(Action)作用的资源。对于基于资源的策略,Resource已经在策略与资源的关联关系中被明确指定,因此策略中不包含这个元素。资源以Trn的形式配置,格式为:trn: {service}:{region}:{account}: {resourceType}/{id}。其中trn为固定前缀,{service}为对应的云服务英文简称(请参考具体的产品文档),{region}为资源所在的地域(Region)(对于不区分地域的全局资源,此参数值不填写),{account}为资源所属的账号ID,{resourceType}为资源的类型(请参考具体的产品文档),{id}为资源的ID。 |
更多管控策略示例请参考:自定义管控策略示例。