新手入门
最佳实践
API中心
自助服务
<p class="shortdesc"></p>
<p class="p">策略管理中的一个重要概念是访问策略。访问策略(Policy)是用访问策略语言所描述的一组权限,它可以精确地描述被授权的资源集、操作集以及授权条件。</p>
<p class="p">在RAM中,访问策略是一种资源实体,用户可以创建、更新、删除和查看访问策略。RAM 允许在主账号或者子账号下创建并管理多个自定义访问策略,支持两种类型的访问策略:</p>
<ul class="ul" id="Access_policy__ul_jdw_s1d_flb">
<li class="li"><strong class="ph b">系统访问策略</strong>是由<span class="ph">壹账通金融云</span>创建和管理的一组常用的权限集,主要针对不同服务类型的只读权限或完全操作权限,例如,对ECS的只读权限(ECSReadOnlyAccess)、对ECS的完全操作权限(ECSFullAccess)等。对于<span class="ph">壹账通金融云</span>提供的这组访问策略,用户只能用于授权,而不能编辑和修改。对于这些系统访问策略,<span class="ph">壹账通金融云</span>会自动进行更新或修改。另外,系统访问策略中还有一个超级访问策略AdministratorAccess策略,获得该授权的子账号可以拥有等同于主账号的对所有资源的完全管理权限。</li>
<li class="li"><strong class="ph b">自定义访问策略</strong>由用户自己创建和管理,它是对系统访问策略的扩展和补充。系统访问策略所描述的权限粒度较粗,如果用户需要更精细的授权描述,例如精确控制对某个ECS实例的权限或添加授权条件限制,则需要用户创建自定义授权策略。创建自定义授权策略时,需要了解授权策略语言的基本结构和语法(请参考附录中的<a class="xref" href="/ssr/help/manage/ram/appendix.authorizepolicy" target="_blank" rel="external noopener">授权策略语言</a>)。每个访问策略本质上是一组权限的集合。</li>
</ul>
<div class="note note note_note"><span class="note__title">说明:</span> 当授权策略中同时包含(Allow)和拒绝(Deny)的授权语句时,遵循Deny优先的原则。</div>
页面更新不及时
