策略语法：细粒度策略

更新时间：2020/08/06 GMT+08:00

策略语法

在IAM左侧导航窗格中，单击“策略”，单击策略名称，可以查看策略的详细内容，以“BSS Administrator”为例，说明细粒度策略的语法。

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "BSS:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

作用范围：策略的生效范围，该策略需要在除全局区域外的其他区域中授权。
Version：Version：策略的版本号，RBAC策略版本为“1.0”，细粒度策略版本为“1.1”。
Statement：策略的授权语句，包含Action（授权项）和Effect（作用），Action和Effect结合构成用户具备的权限。
- Action（授权项）：操作权限，格式为：服务名:资源类型:操作
   "BSS:*:*"：表示对BSS的所有操作，其中BSS为服务名；“*”为通配符，表示对所有的资源类型可以执行所有操作。
- Effect（作用）：定义Action中的操作权限是否允许执行。Allow：允许；Deny：拒绝。
  系统预置策略仅包含允许的授权语句，自定义策略中可以同时包含允许和拒绝的授权语句，同一个Action的Effect如果既有Allow又有Deny时，遵循Deny优先的原则。

策略结构

策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。

检查规则

用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。检查规则如下：

用户发起访问请求。
系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。
如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。
如果找不到Allow指令，最终决定为Deny，鉴权结束。

授权项说明

表1 授权项列表
权限	授权项	说明
账号编辑	bss:account:update	修改手机、邮箱、密码、实名认证、应用行业、联系信息、首选项、合作伙伴等。
账户查看	bss:balance:view	查看账户信息。
账户操作	bss:balance:update	充值、提现、欠费还款等。
续费查看	bss:renewal:view	查看续费管理信息，查询可按需转包年/包月资源列表。
续费操作	bss:renewal:update	续费、转包年/包月、释放、设置自动续费、按需转包年/包月等。
订单查看	bss:order:view	查看订单信息、查看按需套餐包。
订单操作	bss:order:update	下单、购买&查看按需套餐包、申请公测、支付、取消、合并支付等。
账单查看	bss:bill:view	消费汇总查看。
账单操作	bss:bill:update	账单导出。
消费账单查看	bss:billDetail:view	消费明细、账单分析查看。
消费账单操作	bss:billDetail:update	消费明细、账单分析导出。
消耗数据查看	bss:consumption:view	消耗分析页面查看。
消耗数据操作	bss:consumption:update	消耗数据导出。
优惠折扣查看	bss:coupon:view	优惠券、现金券、代金券查看。
发票操作	bss:invoice:update	发票申请、查看信息。
合同商务	bss:contract:update	合同商务信息查看。
退订操作	bss:unsubscribe:update	退订、查看退订记录。
订单支付	bss:order:pay	订单支付。

父主题： 权限管理

上一篇：创建自定义策略

下一篇：策略语法：RBAC

策略语法：细粒度策略

策略语法

策略结构

检查规则

授权项说明

相关文档

相关产品

文档是否有解决您的问题？