访问控制RAM(Resource Access Management)是阿里云提供的集中式访问控制服务,其核心功能主要包括用户身份与授权管理,应用场景可以覆盖企业子账号与分权管理、针对移动App的临时授权管理,和不同组织之间的资源互操作与授权管理。本文介绍如何为RAM用户授予使用CSB的权限。

背景信息

更多关于RAM的介绍请参见 RAM访问控制

为RAM用户授权

云账号(主账号)可以在RAM控制台创建自定义策略,然后将策略授权给RAM用户。

  1. 使用云账号(主账号)登录RAM控制台创建自定义策略,详情请参见创建自定义策略
    策略示例:
    • 全部权限示例:CsbRamAllPolicy
      {
       "Version": "1",
       "Statement": [
           {
               "Action": "csb:*",
               "Resource": "acs:csb:*:*:*",
               "Effect": "Allow"
           }
       ]
      }
    • 单个实例授权示例:CsbInstance231
      {
        "Version": "1",
        "Statement": [
            {
                "Action": "csb:AOSPSYS_LIST_CSB",
                "Resource": "acs:csb:*:*:AOSPSYS/*",
                "Effect": "Allow"
            },
            {
                "Action": "csb:*",
                "Resource": "acs:csb:*:*:INSTANCE/231",
                "Effect": "Allow"
            }
        ]
      }
  2. 将自定义策略授予需要的RAM用户,详情请参见为RAM用户授权

RAM相关术语

为了方便您更好地使用CSB的访问控制功能,本文提供了以下几个关键术语的介绍。更多关于RAM的术语解释,请参见基本概念

  • 资源(Resource)

    资源是云服务呈现给用户与之交互的对象实体的一种抽象。CSB提供了几个类别的资源,每个资源有一个全局的阿里云资源名称(Aliyun Resource Name, ARN),格式为:acs:<service-name>:<region>:<account-id>:<resource-relative-id>。各组成部分代表的含义如下:

    • acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公有云平台;
    • service-name:服务名称,CSB的服务名称为csb;
    • region:区域信息,填“*”号;
    • account-id:阿里云账号ID,例如1234567890123456;
    • resource-relative-id:CSB资源,${resource-type}/${resource-id}。

    示例:名称为acs:csb:*:*:INSTANCE/10的资源表示的含义是:ID为10的CSB实例资源。

  • 操作(Action)

    action规则:csb:${action-name}

    示例: csb:SERVICEGROUP_CREATE表示“创建服务组”的操作。

规则参考

  • 资源规则
    资源名 资源规则
    系统 acs:csb:$regionid:$accountid:AOSPSYS/*
    实例 acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    凭证 acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    服务组 acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
    服务 acs:csb:$regionid:$accountid:SERVICE/$resourceId
  • 鉴权规则
    操作 鉴权规则
    AOSPSYS_LIST_CSB acs:csb:$regionid:$accountid:AOSPSYS/*
    INSTANCE_APPLY_USE acs:csb:$regionid:$accountid:AOSPSYS/*
    INSTANCE_APPROVE_APPLY_USE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_UPDATE_BASIC_INFO acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_VIEW_PERSONNAL_SERVICE_STATISTICS acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_VIEW_SERVICE_SUMMARY acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    CREDENTIALGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    CREDENTIALGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    CREDENTIALGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    SERVICEGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_STARTSTOP acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICE_DELETE acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_MANAGE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_PUBLISH acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
    SERVICE_UNORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_UPDATE acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_BASIC_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_FULL_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_ORDER_CALL_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_SUMMARY_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId