更新时间:2025-09-25 GMT+08:00
操作、资源和条件键
在华为云各服务的身份策略授权参考中,会明确定义该服务用于IAM身份策略的操作、资源类型及条件键。具体请参见身份策略授权参考。
操作
操作(Action)即为身份策略中支持的授权项。
- “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
- “资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。
- 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
关于各服务资源类型的详细信息,请参见资源类型表中相应的行。
- “条件键”列包括了可以在身份策略语句的Condition元素中指定的键值。
- 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
- 如果此列条件键没有值(-),表示此操作不支持指定条件键。
关于全局条件键的更多信息,请参见全局条件键。
- “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明。
资源类型
资源类型(Resource)表示身份策略所作用的资源。并非可以为每个操作指定每种资源,某些资源仅适用于某些操作。如操作表的某些操作指定了所关联的资源类型,则可以在有该操作的身份策略语句中指定该资源的URN,表示身份策略仅作用于此资源;如未指定,则Resource默认为“*”,表示身份策略将应用到所有资源。
- “URN”列指定了使用该类型资源时必须使用的URN格式。您需要将<>括起来的部分替换为实际值,例如您在URN中看到的<account-id>,在使用时必须将其替换为该资源所属账号的实际账号ID。
条件
条件(Condition)是身份策略生效的特定条件。并非可以对每个操作或资源指定每个条件键,某些条件键只适用于特性类型的操作和资源。
- “类型”列指定了条件键的数据类型。该数据类型确定您可以使用哪种类型的运算符来将请求中的值与身份策略语句中的值进行比较。您必须使用一个适用于该类型的运算符,匹配才会成功;如果您使用了不正确的运算符,那么匹配将会始终失败。
- “单值/多值”列说明了该条件键支持单值还是多值的。支持单值时只允许一个元素进行匹配,支持多值时允许多个元素进行匹配,更多详细信息请参见全局条件键。
父主题: 策略参考
