身份策略语法
下面以OBS的自定义身份策略为例,说明身份策略的语法。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"obs:bucket:getBucketLocation",
"obs:bucket:headBucket",
"obs:bucket:listAllMyBuckets",
"obs:bucket:listBucket"
],
"Condition": {
"StringEndWithIfExists": {
"g:UserName": [
"specialCharacter"
]
},
"Bool": {
"g:MFAPresent": [
"true"
]
}
}
}
]
} 
当您使用IAM控制台创建或编辑身份策略时,IAM会自动检查它们,以确保它们符合身份策略语法。如果IAM确定身份策略不符合语法,则会提示您进行修复。
IAM访问分析器(IAM Access Analyzer,IAA)还提供额外的身份策略检查和建议,以帮助您进一步优化身份策略。要了解有关IAM访问分析器的策略检查和可执行建议的更多信息,请参考IAM Access Analyzer策略验证。
身份策略结构
身份策略结构包括Version(身份策略版本号)和Statement(身份策略权限语句)两部分,其中Statement可以有多个,表示不同的授权项。
身份策略参数
身份策略参数包含Version和Statement两部分,下面介绍身份策略参数详细说明。了解身份策略参数后,您可以根据场景自定义身份策略,如表1。身份策略是由JSON元素组成,例如Version、Statement、Sid、Effect、Action、Condition、Resource元素等,如需了解这些元素的更多信息,请参见JSON元素参考。
参数 | 含义 | 值 | |
|---|---|---|---|
Version | 身份策略的版本。 | 固定为5.0,不支持修改:代表身份策略JSON语法的版本号。 | |
Statement: 身份策略的授权语句 | Sid:语句ID | Sid(Statement ID)表示语句的可选标识符。 | 为一个由零个或多个字符组成的字符串。 |
Effect:作用 | 定义Action中的操作权限是否允许执行。 |
说明: 当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 | |
Action/NotAction:授权项 | 操作权限。 | 格式为“服务名:资源类型:操作”。授权项支持*和?,*表示任意个字符,?表示恰好一个字符。Action/NotAction不区分大小写。Action表示匹配列表中的所有授权项,NotAction表示匹配列表之外的所有授权项。 示例: "obs:bucket:listAllMyBuckets":表示查看OBS桶列表权限,其中obs为服务名,bucket为资源类型,listAllMybuckets为操作。 您可以打开身份策略授权参考,导航至云服务的的“操作”小节,查看该服务所有授权项。 | |
Resource: 资源类型 | 身份策略所作用的资源。 | 资源类型用资源URN表示,格式为“<service-name>:<region>:<account-id>:<type-name>:<resource-path>”, 资源URN支持*和?,*表示任意个字符,?表示恰好一个字符。Resource不区分大小写。资源URN详情可参见使用URN标识华为云资源。 示例:
| |
Condition:条件 | 格式为“运算符:{条件键:[条件值1,条件值2]}”。其中,条件键不区分大小写。 如果您设置多个条件,同时满足所有条件时,该身份策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}:表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 | ||
