更新时间:2024-06-21 GMT+08:00

安全令牌服务 STS

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为SCP中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于STS定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于STS定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下STS的相关操作。

表1 STS支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

sts:agencies:assume

授予权限以获取一组可用来访问您通常无法访问的资源的临时安全凭证。

write

agency *

g:ResourceTag/<tag-key>

-

  • sts:ExternalId
  • sts:SourceIdentity
  • sts:TransitiveTagKeys
  • sts:AgencySessionName
  • g:RequestTag/<tag-key>
  • g:TagKeys
  • g:SourceAccount
  • g:SourceUrn

sts::decodeAuthorizationMessage

授予权限以从为响应请求而返回的编码消息中解码有关请求授权状态的其他信息。

write

-

-

sts::setSourceIdentity

授予在 STS 会话上设置源身份的权限。

write

agency *

g:ResourceTag/<tag-key>

-

sts:SourceIdentity

sts::tagSession

授予权限以将标签添加至 STS 会话。

tagging

agency *

g:ResourceTag/<tag-key>

-

  • sts:TransitiveTagKeys
  • g:RequestTag/<tag-key>
  • g:TagKeys

sts::getServiceBearerToken

授予权限获取一个绑定至某服务的Bearer Token。

write

-

  • sts:DurationTimes
  • sts:ServiceName

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表2中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。

STS定义了以下可以在自定义SCP的Resource元素中使用的资源类型。

表2 STS支持的资源类型

资源类型

URN

agency

iam::<account-id>:agency:<agency-name-with-path>

assumed-agency

sts::<account-id>:assumed-agency:<agency-name>/<session-name>

条件(Condition)

条件(Condition)是SCP生效的特定条件,包括条件键运算符
  • 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
    • 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键
    • 服务级条件键(前缀通常为服务缩写,如sts:)仅适用于对应服务的操作,详情请参见表3
    • 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
  • 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符

STS定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。

表3 STS支持的服务级条件键

服务级条件键

类型

单值/多值

说明

sts:ExternalId

string

单值

按您代入另一个账户中的角色时所需的唯一标识符筛选访问权限。

sts:SourceIdentity

string

单值

按照在请求中传递的源身份筛选访问权限。

sts:TransitiveTagKeys

string

多值

按照在请求中传递的可传递标签键筛选访问权限。

sts:AgencySessionName

string

单值

按您代入角色时所需的角色会话名称筛选访问权限。

sts:DurationTimes

numeric

单值

按照创建 Bearer Token 的持续时间筛选访问权限。

sts:ServiceName

string

单值

按照创建 Bearer Token 的服务名筛选访问权限。