本文列出了 CAM 授权策略语法及使用示例。
CAM 策略语法
CAM 策略语法如下:
{
"version":"2.0",
"statement":
[
{
"effect":"effect",
"action":["action"],
"resource":["resource"],
"condition": {"key":{"value"}}
}
]
}
version:版本,必填项,目前仅允许值为"2.0"。
语句 statement 是用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource,condition 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
1.1 effect:影响,必填项,描述声明产生的结果是“允许”还是显示“拒绝”。包括 allow (允许)和 deny (显式拒绝)两种情况。
1.2 action:操作,必填项,用来描述允许或拒绝的操作。操作可以是 API (以 name 前缀描述)或者功能集(一组特定的 API,以 permit 前缀描述)。
1.3 resource:资源,必填项,描述授权的具体数据。资源是用六段式描述。每款产品的资源定义详情会有所区别,有关如何指定资源的信息,请参阅您编写的资源声明所对应的产品文档。
1.4 condition:生效条件,非必填项,描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。条件值可包括时间、IP 地址等信息。有些服务允许您在条件中指定其他值。
策略示例
若授权专用通道的全读写策略,示例如下:
授权子账户的专用通道的完全管理权限(创建、管理等全部操作)。
策略名称:QcloudDCFullAccess。
{
"version": "2.0",
"statement": [
{
"action": [
"dc:*"
],
"resource": "*",
"effect": "allow"
}
]
}
若授权专用通道的只读权限,示例如下:
授权子账户专用通道的只读访问权限,即可以查看专用通道所有资源的权限,但子账户无法创建、更新或删除资源。
策略名称:QcloudDCReadOnlyAccess。
{
"version": "2.0",
"statement": [
{
"action": [
"dc:Describe*",
"dc:Is*"
],
"resource": "*",
"effect": "allow"
}
]