本文为您介绍Action、Resource和Condition的定义以及应用场景。

Action定义

Action是API的名称,可以根据Action设置开放或限制用户可以访问的API。在创建表格存储的授权策略时,每个Action都需要添加ots:前缀,多个Action以逗号分隔,并且支持星号通配符(包括前缀匹配和后缀匹配)。

以下是一些典型的Action定义:

  • 单个API
    "Action": "ots:GetRow"                    
  • 多个API
    "Action": [
    "ots:PutRow",
    "ots:GetRow"
    ]                  
  • 所有只读API
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "ots:BatchGet*",
            "ots:Describe*",
            "ots:Get*",
            "ots:List*",
            "ots:Consume*",
            "ots:Search",
            "ots:ComputeSplitPointsBySize"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }                
  • 所有读写API
    "Action": "ots:*"               

Resource定义

表格存储的资源由产品、地域、用户ID、实例名和表名多个字段组成。每个字段支持星号通配符(包括前缀匹配和后缀匹配),Resource格式如下:

acs:ots:[region]:[user_id]:instance/[instance_name]/table/[table_name]            
其中,[xxx]表示变量,产品固定为ots,地域为英文缩写(例如cn-hangzhou),用户ID为阿里云账号ID。
说明 表格存储中实例名称不区分大小写,上述Resource资源定义中的[instance_name]请用小写表示。
Tunnel涉及的Resource定义只能到实例级别,而不是表级别,即Tunnel的资源由产品、地域、用户ID和实例名组成,Resource格式如下:
acs:ots:[region]:[user_id]:instance/[instance_name]                         

以下是一些典型的Resource定义:

  • 所有地域的所有用户的所有资源
    "Resource": "acs:ots:*:*:*"                    
  • 华东1(杭州)地域,用户123456的所有实例及其下所有的表
    "Resource": "acs:ots:cn-hangzhou:123456:instance/*"                  
  • 华东1(杭州)地域,用户123456的名称为abc的实例及其下所有的表
    "Resource": [
    "acs:ots:cn-hangzhou:123456:instance/abc",
    "acs:ots:cn-hangzhou:123456:instance/abc/table/*"
    ]                   
  • 所有以abc开头的实例及下的所有表
    "Resource": "acs:ots:*:*:instance/abc*"                   
  • 所有以abc开头的实例下的所有以xyz开头的表(不包括实例资源,不匹配acs:ots:*:*:instance/abc*)
    "Resource": "acs:ots:*:*:instance/abc*/table/xyz*"                    
  • 所有以abc结尾的Instance及其下的所有以xyz结尾的表
    "Resource": [
    "acs:ots:*:*:instance/*abc",
    "acs:ots:*:*:instance/*abc/table/*xyz"
    ]                   

表格存储的API类型

目前表格存储包含以下三类API:

  • 实例管理类API
  • 表和数据读写类API
  • 实时通道管理和读写类API

各API的类别详情请参见下表。

  • 管理类API访问的资源

    管理类API主要为实例相关的操作,仅由控制台调用。对该类API的Action和Resource定义,将影响用户使用控制台。以下访问的资源省略了acs:ots:[region]:[user_id]:前缀,只描述实例和表部分。

    API名称/Action 访问的资源
    ListInstance instance/*
    InsertInstance instance/[instance_name]
    GetInstance instance/[instance_name]
    DeleteInstance instance/[instance_name]
  • 数据类API访问的资源

    数据类API主要为表和行相关的操作,控制台和SDK都会调用,对该类API的Action和Resource定义,将影响用户使用控制台。以下访问的资源省略了acs:ots:[region]:[user_id]:前缀,只描述实例和表部分。

    API 名称/Action 访问的资源
    ListTable instance/[instance_name]/table/*
    CreateTable instance/[instance_name]/table/[table_name]
    UpdateTable instance/[instance_name]/table/[table_name]
    DescribeTable instance/[instance_name]/table/[table_name]
    DeleteTable instance/[instance_name]/table/[table_name]
    GetRow instance/[instance_name]/table/[table_name]
    PutRow instance/[instance_name]/table/[table_name]
    UpdateRow instance/[instance_name]/table/[table_name]
    DeleteRow instance/[instance_name]/table/[table_name]
    GetRange instance/[instance_name]/table/[table_name]
    BatchGetRow instance/[instance_name]/table/[table_name]
    BatchWriteRow instance/[instance_name]/table/[table_name]
    ComputeSplitPointsBySize instance/[instance_name]/table/[table_name]
    StartLocalTransaction instance/[instance_name]/table/[table_name]
    CommitTransaction instance/[instance_name]/table/[table_name]
    AbortTransaction instance/[instance_name]/table/[table_name]
    CreateIndex instance/[instance_name]/table/[table_name]
    DropIndex instance/[instance_name]/table/[table_name]
    CreateSearchIndex instance/[instance_name]/table/[table_name]
    DeleteSearchIndex instance/[instance_name]/table/[table_name]
    ListSearchIndex instance/[instance_name]/table/[table_name]
    DescribeSearchIndex instance/[instance_name]/table/[table_name]
    Search instance/[instance_name]/table/[table_name]
    CreateTunnel instance/[instance_name]/table/[table_name]
    DeleteTunnel instance/[instance_name]/table/[table_name]
    ListTunnel instance/[instance_name]/table/[table_name]
    DescribeTunnel instance/[instance_name]/table/[table_name]
    ConsumeTunnel instance/[instance_name]/table/[table_name]
    BulkImport instance/[instance_name]/table/[table_name]
    BulkExport instance/[instance_name]/table/[table_name]
  • Tunnel API访问的资源

    Tunnel API主要为通道相关的操作,控制台和SDK都会调用,对该类API的Action和Resource定义,将影响用户使用控制台。以下访问的资源省略了acs:ots:[region]:[user_id]:前缀,只描述实例和表部分。

    API 名称/Action 访问的资源
    ListTable instance/[instance_name]
    CreateTable instance/[instance_name]
    UpdateTable instance/[instance_name]
    DescribeTable instance/[instance_name]
    DeleteTable instance/[instance_name]
    GetRow instance/[instance_name]
    PutRow instance/[instance_name]
    UpdateRow instance/[instance_name]
    DeleteRow instance/[instance_name]
    GetRange instance/[instance_name]
    BatchGetRow instance/[instance_name]
    BatchWriteRow instance/[instance_name]
    ComputeSplitPointsBySize instance/[instance_name]
    StartLocalTransaction instance/[instance_name]
    CommitTransaction instance/[instance_name]
    AbortTransaction instance/[instance_name]
    CreateIndex instance/[instance_name]
    DropIndex instance/[instance_name]
    CreateSearchIndex instance/[instance_name]
    DeleteSearchIndex instance/[instance_name]
    ListSearchIndex instance/[instance_name]
    DescribeSearchIndex instance/[instance_name]
    Search instance/[instance_name]
    CreateTunnel instance/[instance_name]
    DeleteTunnel instance/[instance_name]
    ListTunnel instance/[instance_name]
    DescribeTunnel instance/[instance_name]
    ConsumeTunnel instance/[instance_name]
  • 常见问题说明
    • Policy中Action和Resource通过字符串匹配进行验证的,并且星号通配符区分前缀和后缀匹配。如果Resource定义为acs:ots:*:*:instance/*/,则无法匹配acs:ots:*:*:instance/abc。如果Resource定义为 acs:ots:*:*:instance/abc,则无法匹配 acs:ots:*:*:instance/abc/table/xyz。
    • 登录表格存储控制台管理实例资源,需要授予用户acs:ots:[region]:[user_id]:instance/*资源的读取权限,因为控制台需要获取实例的列表。
    • 对于批量操作API(例如BatchGetRow和BatchWriteRow),后端服务会对被访问的每张表分别鉴权,只有所有表都通过鉴权才能执行操作,否则会返回权限错误。

Condition定义

目前Policy支持访问IP限制、是否通过HTTPS访问、是否通过MFA(多因素认证)访问和访问时间限制等多种鉴权条件,表格存储所有API都已经支持这些条件。

  • 访问IP限制

    访问控制RAM可以限制访问表格存储的源IP地址,并且支持根据网段进行过滤。以下是一些典型的使用场景:

    • 限制多个IP地址。例如只允许IP地址为10.101.168.111和10.101.169.111的请求访问。
      {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "ots:*",
              "Resource": "acs:ots:*:*:*",
              "Condition": {
                  "IpAddress": {
                      "acs:SourceIp": [
                          "10.101.168.111",
                          "10.101.169.111"
                      ]
                  }
              }
          }
      ],
      "Version": "1"
      }                           
    • 限制单个IP地址和IP网段。例如只允许IP地址为10.101.168.111或10.101.169.111/24网段的请求访问。
      {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "ots:*",
              "Resource": "acs:ots:*:*:*",
              "Condition": {
                  "IpAddress": {
                      "acs:SourceIp": [
                          "10.101.168.111",
                          "10.101.169.111/24"
                      ]
                  }
              }
          }
      ],
      "Version": "1"
      }                            
  • HTTPS访问限制

    访问控制可以限制是否通过HTTPS访问。

    以下是典型的使用场景,限制请求必须通过HTTPS访问。

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ots:*",
                "Resource": "acs:ots:*:*:*",
                "Condition": {
                    "Bool": {
                        "acs:SecureTransport": "true"
                    }
                }
            }
        ],
        "Version": "1"
    }                    
  • MFA访问限制

    访问控制可以限制是否通过MFA(多因素认证)访问。

    以下是典型的使用场景,限制请求必须通过MFA访问。

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ots:*",
                "Resource": "acs:ots:*:*:*",
                "Condition": {
                    "Bool": {
                        "acs:MFAPresent ": "true"
                    }
                }
            }
        ],
        "Version": "1"
    }                    
  • 访问时间限制

    访问控制可以限制请求的访问时间,即只允许或拒绝在某个时间点范围之前的请求。以下是典型的使用场景。

    例如北京时间2016年1月1日零点之前用户可以访问,之后就不能再访问。

    {
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ots:*",
                "Resource": "acs:ots:*:*:*",
                "Condition": {
                    "DateLessThan": {
                        "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
                    }
                }
            }
        ],
        "Version": "1"
    }                    

典型使用场景

结合以上对Action、Resource和Condition的定义,以下列出一些典型使用场景的Policy定义和授权方法。

  • 多种授权条件

    对于访问IP地址为10.101.168.111/24网段的用户,可以对所有名称为online-01和online-02的实例执行读或者写操作(包括实例下的所有表),且要求只能在2016-01-01 00:00:00之前访问和通过HTTPS访问。

    操作步骤如下:

    1. 使用阿里云账号登录访问控制 RAM 管理控制台(默认已开通访问控制服务)。
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 权限策略管理页面,单击新建权限策略
    4. 在创建权限策略页面,填写策略名称,选择脚本配置,并将如下内容填写到策略内容栏。
      {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "ots:*",
              "Resource": [
                  "acs:ots:*:*:instance/online-01",
                  "acs:ots:*:*:instance/online-01/table/*",
                  "acs:ots:*:*:instance/online-02",
                  "acs:ots:*:*:instance/online-02/table/*"
              ],
              "Condition": {
                  "IpAddress": {
                      "acs:SourceIp": [
                          "10.101.168.111/24"
                      ]
                  },
                  "DateLessThan": {
                      "acs:CurrentTime": "2016-01-01T00:00:00+08:00"
                  },
                  "Bool": {
                      "acs:SecureTransport": "true"
                  }
              }
          }
      ],
      "Version": "1"
      }                            
    5. 单击确定
    6. 在左侧导航栏,选择身份管理 > 用户。找到需要授权的RAM用户,单击其右侧操作栏下面的添加权限按钮,进入编辑个人授权页面。
    7. 搜索刚才新建的策略名称,将该策略添加至已选择授权策略名称栏中,然后单击确定,完成对该账号的策略授权。
  • 拒绝请求

    对于访问IP地址为10.101.169.111的用户,拒绝对华北2(北京)地域,名称以online和product开头的实例下的所有表执行写操作(不包括对实例的操作)。

    创建自定义授权策略和为RAM用户授权的步骤同上,只需将如下内容填写到策略内容栏即可。

    {
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "ots:Create*",
                    "ots:Insert*",
                    "ots:Put*",
                    "ots:Update*",
                    "ots:Delete*",
                    "ots:BatchWrite*"
                ],
                "Resource": [
                    "acs:ots:cn-beijing:*:instance/online*/table/*",
                    "acs:ots:cn-beijing:*:instance/product*/table/*"
                ],
                "Condition": {
                    "IpAddress": {
                        "acs:SourceIp": [
                            "10.101.169.111"
                        ]
                    }
                }
            }
        ],
        "Version": "1"
    }