文档首页 > > 用户指南> 权限管理> 策略语法:细粒度策略

策略语法:细粒度策略

分享
更新时间:2020/08/06 GMT+08:00

策略语法

在IAM左侧导航窗格中,单击“策略”,单击策略名称,可以查看策略的详细内容,以“BSS Administrator”为例,说明细粒度策略的语法。

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "BSS:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}
  • 作用范围:策略的生效范围,该策略需要在除全局区域外的其他区域中授权。
  • Version:Version:策略的版本号,RBAC策略版本为“1.0”,细粒度策略版本为“1.1”。
  • Statement:策略的授权语句,包含Action(授权项)和Effect(作用),Action和Effect结合构成用户具备的权限。
    • Action(授权项):操作权限,格式为:服务名:资源类型:操作

      "BSS:*:*":表示对BSS的所有操作,其中BSS为服务名;“*”为通配符,表示对所有的资源类型可以执行所有操作。

    • Effect(作用):定义Action中的操作权限是否允许执行。Allow:允许;Deny:拒绝。

      系统预置策略仅包含允许的授权语句,自定义策略中可以同时包含允许和拒绝的授权语句,同一个Action的Effect如果既有Allow又有Deny时,遵循Deny优先的原则。

策略结构

策略结构包括:Version(策略版本号)和Statement(策略权限语句),其中Statement可以有多个,表示不同的授权项。

检查规则

用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。检查规则如下:

  1. 用户发起访问请求。
  2. 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。
  3. 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令,系统将返回Allow决定。
  4. 如果找不到Allow指令,最终决定为Deny,鉴权结束。

授权项说明

表1 授权项列表

权限

授权项

说明

账号编辑

bss:account:update

修改手机、邮箱、密码、实名认证、应用行业、联系信息、首选项、合作伙伴等。

账户查看

bss:balance:view

查看账户信息。

账户操作

bss:balance:update

充值、提现、欠费还款等。

续费查看

bss:renewal:view

查看续费管理信息,查询可按需转包年/包月资源列表。

续费操作

bss:renewal:update

续费、转包年/包月、释放、设置自动续费、按需转包年/包月等。

订单查看

bss:order:view

查看订单信息、查看按需套餐包。

订单操作

bss:order:update

下单、购买&查看按需套餐包、申请公测、支付、取消、合并支付等。

账单查看

bss:bill:view

消费汇总查看。

账单操作

bss:bill:update

账单导出。

消费账单查看

bss:billDetail:view

消费明细、账单分析查看。

消费账单操作

bss:billDetail:update

消费明细、账单分析导出。

消耗数据查看

bss:consumption:view

消耗分析页面查看。

消耗数据操作

bss:consumption:update

消耗数据导出。

优惠折扣查看

bss:coupon:view

优惠券、现金券、代金券查看。

发票操作

bss:invoice:update

发票申请、查看信息。

合同商务

bss:contract:update

合同商务信息查看。

退订操作

bss:unsubscribe:update

退订、查看退订记录。

订单支付

bss:order:pay

订单支付。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问