RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问的服务。使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),以及控制RAM用户对资源的操作权限,例如限制您的RAM用户只拥有对某一个文件系统的操作权限。

警告 授予RAM用户对NAS文件系统的访问控制权限时,请遵循最小授权原则,选择合理的授权范围。授权范围过大有安全风险。

为RAM用户授权的流程

  1. 创建RAM用户。具体操作,请参见创建RAM用户
  2. 选择需要授予RAM用户的权限策略。
    权限策略分为 系统策略自定义策略
    • 系统策略:阿里云提供多种具有不同管理目的的默认权限策略。NAS常用的系统策略包括以下两种:
      • AliyunNASFullAccess(不推荐):为RAM用户授予文NAS文件系统的完全管理权限。该权限风险很高,不推荐使用。
      • AliyunNASReadOnlyAccess:为RAM用户授予文NAS文件系统的只读访问权限。
    • 自定义策略:自定义权限策略可以更大程度的满足您的细粒度的要求,从而实现更灵活的权限管理。

      您可以结合实际使用场景,并参照下文列举的常见自定义策略示例,然后通过脚本配置方式创建自定义策略。具体操作,请参见创建自定义策略

  3. 为RAM用户授权。

    为RAM用户授予步骤2中选择的权限策略。具体操作,请参见为RAM用户授权

示例一:授权RAM用户对文件系统的权限

  • 授予RAM用户拥有对文件系统(实例ID:07d****294)的完全控制权限。
    说明 由于RAM不支持授予RAM用户单一文件系统的查看权限,当要授予RAM用户单一文件系统完全控制权限时,请您先授予RAM用户全部文件系统的查看权限,然后再授予RAM用户单一文件系统的操作(删除、修改)权限。
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:*"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d****294"
                ]
            },
            {
                "Effect": "Allow",
                "Action": "nas:CreateMountTarget",
                "Resource": [
                    "acs:vpc:*:*:vswitch/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": "cms:Describe*",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "nas:DescribeFileSystems",
                "Resource": "*"
            }
        ],
        "Version": "1"
    }
  • 授予RAM用户修改文件系统(实例ID:07d****294)属性的权限。
    {
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "nas:DescribeFileSystems",
                "nas:ModifyFileSystem"
            ],
            "Resource": "acs:nas:*:*:filesystem/07d****294"
        }],
        "Version": "1"
    }
  • 授予RAM用户查看所有文件系统的权限。
    {
        "Statement": [{
            "Effect": "Allow",
            "Action": "nas:DescribeFileSystems",
            "Resource": "*"
        }],
        "Version": "1"
    }

示例二:授权RAM用户对文件系统挂载点的权限

授予RAM用户对文件系统(实例ID: 07d****294)的挂载点拥有完全控制权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateMountTarget",
            "nas:DescribeMountTargets",
            "nas:ModifyMountTarget",
            "nas:DeleteMountTarget"
        ],
        "Resource": [
            "acs:nas:*:*:filesystem/07d****294",
            "acs:vpc:*:*:vswitch/*"
        ]
    }],
    "Version": "1"
}

示例三:授权RAM用户对文件系统权限组的权限

授予RAM用户对所有文件系统权限组拥有完全控制权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "nas:CreateAccessGroup",
            "nas:DescribeAccessGroups",
            "nas:ModifyAccessGroup",
            "nas:DeleteAccessGroup",
            "nas:CreateAccessRule",
            "nas:DescribeAccessRules",
            "nas:ModifyAccessRule",
            "nas:DeleteAccessRule"
        ],
        "Resource": "acs:nas:*:*:accessgroup/*"
    }],
    "Version": "1"
}

示例四:授权RAM用户查看文件系统性能监控指标的权限

授予RAM用户通过控制台查看任一文件系统性能监控指标的权限。
{
    "Statement": [{
        "Effect": "Allow",
        "Action": "cms:Describe*",
        "Resource": "*"
    }],
    "Version": "1"
}

示例五:授权RAM用户对文件系统回收站的管理权限

  • 授予RAM用户拥有对文件系统(实例ID:07d****294)回收站完全控制的权限。
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:EnableRecycleBin",
                    "nas:DisableAndCleanRecycleBin ",
                    "nas:UpdateRecycleBinAttribute",
                    "nas:GetRecycleBinAttribute",
                    "nas:CreateRecycleBinRestoreJob",
                    "nas:CreateRecycleBinDeleteJob",
                    "nas:CancelRecycleBinJob",
                    "nas:ListRecycleBinJobs",
                    "nas:ListRecycledDirectoriesAndFiles",
                    "nas:ListRecentlyRecycledDirectories"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d****294"
                ]
            }
        ],
        "Version": "1"
    }
  • 授予RAM用户恢复文件系统(实例ID:07d****294)回收站中暂存文件的权限。
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:GetRecycleBinAttribute",
                    "nas:CreateRecycleBinRestoreJob",
                    "nas:CancelRecycleBinJob",
                    "nas:ListRecycleBinJobs",
                    "nas:ListRecycledDirectoriesAndFiles",
                    "nas:ListRecentlyRecycledDirectories"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d****294"
                ]
            }
        ],
        "Version": "1"
    }
  • 授予RAM用户彻底删除文件系统(实例ID:07d****294)回收站中暂存文件的权限。
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:GetRecycleBinAttribute",
                    "nas:CreateRecycleBinDeleteJob",
                    "nas:CancelRecycleBinJob",
                    "nas:ListRecycleBinJobs",
                    "nas:ListRecycledDirectoriesAndFiles",
                    "nas:ListRecentlyRecycledDirectories"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d****294"
                ]
            }
        ],
        "Version": "1"
    }
  • 授予RAM用户修改文件系统(实例ID:07d****294)回收站配置的权限。
    {
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "nas:EnableRecycleBin",
                    "nas:UpdateRecycleBinAttribute",
                    "nas:DisableAndCleanRecycleBin",
                    "nas:GetRecycleBinAttribute"
                ],
                "Resource": [
                    "acs:nas:*:*:filesystem/07d****294"
                ]
            }
        ],
        "Version": "1"
    }

附录:自定义权限策略鉴权列表

您可以通过RAM控制台或者调用RAM API CreatePolicy创建一个自定义策略,当 配置模式脚本配置时,您需要根据JSON模板文件填写策略内容。其中的Action和Resource参数取值请参见如下鉴权列表。更多信息,请参见 权限策略基本元素
API Action Resource 说明
文件系统 CreateFileSystem nas:CreateFileSystem acs:nas:<region>:<account-id>:filesystem/* 创建文件系统。
DeleteFileSystem nas:DeleteFileSystem acs:nas:<region>:<account-id>:filesystem/<filesystemid> 删除文件系统。
ModifyFileSystem nas:ModifyFileSystem acs:nas:<region>:<account-id>:filesystem/<filesystemid> 修改文件系统配置。
DescribeFileSystems nas:DescribeFileSystems acs:nas:<region>:<account-id>:filesystem/<filesystemid> 列出文件系统实例。
挂载点 CreateMountTarget nas:CreateMountTarget
  • acs:nas:<region>:<account-id>:filesystem/<filesystemid>
  • acs:vpc:*:*:vswitch/*
创建挂载点。
DeleteMountTarget nas:DeleteMountTarget acs:nas:<region>:<account-id>:filesystem/<filesystemid> 删除挂载点。
ModifyMountTarget nas:ModifyMountTarget acs:nas:<region>:<account-id>:filesystem/<filesystemid> 修改挂载点配置。
DescribeMountTargets nas:DescribeMountTargets acs:nas:<region>:<account-id>:filesystem/<filesystemid> 列出文件系统挂载点。
权限组 CreateAccessGroup nas:CreateAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 创建权限组。
DeleteAccessGroup nas:DeleteAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 删除权限组。
ModifyAccessGroup nas:ModifyAccessGroup acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 修改权限组。
DescribeAccessGroups nas:DescribeAccessGroups acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 列出权限组。
CreateAccessRule nas:CreateAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 添加权限组规则。
DeleteAccessRule nas:DeleteAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 删除权限组规则。
ModifyAccessRule nas:ModifyAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 修改权限组规则。
DescribeAccessRule nas:DescribeAccessRule acs:nas:<region>:<account-id>:accessgroup/<accessgroupname> 列出权限组规则。
极速型NAS快照 ApplyAutoSnapshotPolicy nas:ApplyAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 为一个或者多个文件系统应用自动快照策略。
CancelAutoSnapshotPolicy nas:CancelAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 取消一个或者多个文件系统的自动快照策略。
CreateAutoSnapshotPolicy nas:CreateAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 创建一条自动快照策略。
DeleteAutoSnapshotPolicy nas:DeleteAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 删除一条自动快照策略。
ModifyAutoSnapshotPolicy nas:ModifyAutoSnapshotPolicy acs:nas:<region>:<account-id>:snapshot/<snapshotid> 修改一条自动快照策略。
DescribeAutoSnapshotPolicies nas:DescribeAutoSnapshotPolicies acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询已创建的自动快照策略。
CreateSnapshot nas:CreateSnapshot acs:nas:<region>:<account-id>:snapshot/* 创建快照。
DeleteSnapshot nas:DeleteSnapshot acs:nas:<region>:<account-id>:snapshot/<snapshotid> 删除指定的快照。
DescribeAutoSnapshotTasks nas:DescribeAutoSnapshotTasks acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询自动快照的任务。
DescribeSnapshots nas:DescribeSnapshots acs:nas:<region>:<account-id>:snapshot/<snapshotid> 查询一个文件系统所有的快照列表。
ResetFileSystem nas:ResetFileSystem acs:nas:<region>:<account-id>:snapshot/<snapshotid> 使用文件系统的历史快照回滚至某一阶段的文件系统状态。
生命周期管理 CreateLifecyclePolicy nas:CreateLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 创建生命周期管理策略。
ModifyLifecyclePolicy nas:ModifyLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 修改生命周期管理策略。
DeleteLifecyclePolicy nas:DeleteLifecyclePolicy acs:nas:<region>:<account-id>:lifecyclepolicy/<lifecyclerulename> 删除生命周期管理策略。
DescribeLifecyclePolicies nas:DescribeLifecyclePolicies acs:nas:<region>:<account-id>:lifecyclepolicy/* 查询生命周期管理策略列表。

FAQ