Policy 基本元素

Policy 基本元素

Policy 基本元素是权限策略的基本组成部分，IAM 中使用权限策略来描述授权的具体内容，了解这些基本元素的知识可以帮助您更合理地使用权限策略。

Policy 基本使用规则

效力（Effect）

效力取值为 Allow 或 Deny，例如："Effect": "Allow"。

操作（Action）

Action 支持多值，取值为服务所定义的操作名称。

格式： <service-name>:<action-name>

• service-name： 产品名称，例如：wos。
• action-name： 相关的操作名称。

描述样例：

"Action": ["wos:ListBuckets"]

资源（Resource）

Resource 通常指资源，即操作对象。

格式： wsc:<service-name>:<region>:<account>:<relative-id>

• wsc： 表示控制台。
• service-name： 产品名称，例如：wos。
• region： 地区信息。如果不支持该项，可放空或使用通配符“*”号来代替。
• account： 账号，即您的账号名（英文）。
• relative-id： 与服务相关的资源描述部分，其语义由具体服务指定。这部分的格式支持树状结构（类似文件路径）。以 wos 为例，表示一个 WOS 对象的格式为：relative-id = “mybucket/dir1/object1.jpg”。

描述样例：

"Resource": ["wsc:wos:*:*:mybucket", "wsc:wos:*:*:mybucket/*"]

权限策略样例

以下权限策略的含义：允许对 WOS 的 samplebucket 进行只读操作，并禁止对 WOS 的 samplebucket 进行写操作：

[
    {
        "Effect": "Allow",
        "Action": ["wos:List*", "wos:Get*"],
        "Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"]
    },
    {
        "Effect": "Deny",
        "Action": ["wos:Delete*", "wos:Put*"],
        "Resource": ["wsc:wos:*:*:samplebucket", "wsc:wos:*:*:samplebucket/*"]
    }
]