표현식 정책(Expression Policy)
최신 업데이트:2022-06-03 14:48:09
정책의 기본 요소는 권한 정책의 기본 구성 요소이다. IAM은 권한 정책을 사용하여 특정 권한 내용 설명한다.
정책의 기본 요소에 대한 기본 지식을 이해하면 권한 정책을 보다 합리적으로 사용하는 데 도움된다.
정책(Policy)의 기본 요소
| 요소 | 설명 |
|---|---|
| 효과(Effect) | 허용 및 거부, 두 가지 유형의 권한 부여 (Permission Policy Effect) 지정 |
| 액션(Action) | 특정 리소스(Specific Resource)의 사용 의미 |
| 리소스(Resource) | 리소스(Resource)는 권한이 부여된 특정 객체 |
정책(Policy) 요소 사용의 기본 규칙
-
효과(Effect)
유효한 값은 허용 및 거부 이다.
-
액션(Action)
씨디네트웍스에 정의된 여러 값을 지원한다.
Syntax
< service-name>: < action-name>*service-name*
씨디네트웍스 서비스 이름*action-name*
서비스의 하나 이상의 액션 이름 예: “Action”: [“wos:ListBuckets”]-
리소스
일반적으로 권한이 부여된 특정 객체를 나타낸다.
Syntax
wsc:< service-name>:< region>:< account>:< relative-id>.wsc
씨디네트웍스 Console의 약자service-name
wos와 같은 씨디네트웍스 솔루션/서비스 이름region
지역 정보로 리소스가 이 매개 변수를 지원하지 않는 경우 “*” 와일드카드 캐릭터 사용 가능account
로그인 이름 (영문)relative-id
서비스 관련 리소스의 식별자로, 서비스에 따라 의미가 달라진다. Relative-id 요소의 값은 파일 경로일 수 있다. 예를 들어 relative-id = “mybucket/dir1/object1.jpg”는 WOS 객체를 의미한다. 예: “Resource”: [“wsc:wos:::mybucket”, “wsc:wos:::mybucket/*”] -
정책 예제
다음 권한 정책는 "“WOS samplebucket에서 읽기 전용 액션을 허용하고 WOS samplebucket에서 쓰기 액션을 금지” 를 의미한다.
{
"Version": "1",
"Statement":
[{
"Effect":"Allow",
"Action": ["wos:List*", "wos:Get*"],
"Resource": ["wsc:wos:::samplebucket", "wsc:wos:::samplebucket/*"],
},
{
"Effect":"Deny",
"Action": ["wos:Delete*", "wos:Put*"],
"Resource": ["wsc:wos:::samplebucket", "wsc:wos:::samplebucket/*"],
}]
}
이 문서의 내용이 도움이 되었습니까?
예
아니오