访问控制 RAM(Resource Access Management)是阿里云提供的集中式访问控制服务,其核心功能主要包括用户身份与授权管理,应用场景可以覆盖企业子账号与分权管理、针对移动 App 的临时授权管理,和不同组织之间的资源互操作与授权管理。本文介绍如何为 RAM 用户授予使用 CSB 的权限。

背景信息

更多关于 RAM 的介绍请参见 RAM 访问控制

为 RAM 用户授权

云账号(主账号)可以在 RAM 控制台创建自定义策略,然后将策略授权给 RAM 用户。

  1. 使用云账号(主账号)登录 RAM 控制台创建自定义策略,详情请参见创建自定义策略
    策略示例:
    • 全部权限示例:CsbRamAllPolicy
      {
       "Version": "1",
       "Statement": [
           {
               "Action": "csb:*",
               "Resource": "acs:csb:*:*:*",
               "Effect": "Allow"
           }
       ]
      }
    • 单个实例授权:CsbInstance231
      {
        "Version": "1",
        "Statement": [
            {
                "Action": "csb:AOSPSYS_LIST_CSB",
                "Resource": "acs:csb:*:*:AOSPSYS/*",
                "Effect": "Allow"
            },
            {
                "Action": "csb:*",
                "Resource": "acs:csb:*:*:INSTANCE/231",
                "Effect": "Allow"
            }
        ]
      }
  2. 将自定义策略授予需要的 RAM 用户,详情请参见为RAM用户授权

RAM 相关术语

为了方便您更好地使用 CSB 的访问控制功能,本文提供了以下几个关键术语的介绍。更多关于 RAM 的术语解释,请参见基本概念

  • 资源(Resource)

    资源是云服务呈现给用户与之交互的对象实体的一种抽象。CSB 提供了几个类别的资源,每个资源有一个全局的阿里云资源名称(Aliyun Resource Name, ARN)。格式如下: acs:<service-name>:<region>:<account-id>:<resource-relative-id> 各组成部分代表的含义如下:

    • acs: Alibaba Cloud Service 的首字母缩写,表示阿里云的公有云平台;
    • service-name: 服务名称,CSB的服务名称为 csb;
    • region: 区域信息,填 “*” 号;
    • account-id: 阿里云账号 ID,例如 1234567890123456;
    • resource-relative-id: csb 资源,${resource-type}/${resource-id}。

    示例:名称为 acs:csb:*:*:INSTANCE/10 的资源表示的含义是:ID 为 10 的 CSB 实例资源。

  • 操作(Action)

    action 规则:csb:${action-name}

    示例: csb:SERVICEGROUP_CREATE 表示“创建服务组”的操作。

规则参考

  • 资源规则
    资源名 资源规则
    系统 acs:csb:$regionid:$accountid:AOSPSYS/*
    实例 acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    凭证 acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    服务组 acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
    服务 acs:csb:$regionid:$accountid:SERVICE/$resourceId
  • 鉴权规则
    操作 鉴权规则
    AOSPSYS_LIST_CSB acs:csb:$regionid:$accountid:AOSPSYS/*
    INSTANCE_APPLY_USE acs:csb:$regionid:$accountid:AOSPSYS/*
    INSTANCE_APPROVE_APPLY_USE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_UPDATE_BASIC_INFO acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_VIEW_PERSONNAL_SERVICE_STATISTICS acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    INSTANCE_VIEW_SERVICE_SUMMARY acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    CREDENTIALGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    CREDENTIALGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    CREDENTIALGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_CREATE acs:csb:$regionid:$accountid:INSTANCE/$resourceId
    SERVICEGROUP_DELETE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_STARTSTOP acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICEGROUP_UPDATE acs:csb:$regionid:$accountid:CREDENTIALGROUP/$resourceId
    SERVICE_DELETE acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_MANAGE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_ORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_PUBLISH acs:csb:$regionid:$accountid:SERVICEGROUP/$resourceId
    SERVICE_UNORDER acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_UPDATE acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_BASIC_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_FULL_INFO acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_ORDER_CALL_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId
    SERVICE_VIEW_SUMMARY_STATISTICS acs:csb:$regionid:$accountid:SERVICE/$resourceId