策略语法
CAM 策略:
{
"version":"2.0",
"statement":
[
{
"effect":"effect",
"action":["action"],
"resource":["resource"],
"condition": {"key":{"value"}}
}
]
}
版本 version:必填项,目前仅允许值为"2.0"。
语句 statement:用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource、condition 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
影响 effect:必填项,描述声明产生的结果是“允许”还是“显式拒绝”。包括 allow(允许)和 deny(显式拒绝)两种情况。
操作 action:必填项,用来描述允许或拒绝的操作。操作可以是 API 或者功能集(一组特定的 API ,以 permid 前缀描述)。
资源 resource:必填项,描述授权的具体数据。资源是用六段式描述,每款产品的资源定义详情会有所区别。
生效条件 condition:必填项,描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。TcaplusDB 目前并不支持特殊的生效条件,所以此项可不进行配置。
TcaplusDB 的操作
在 CAM 策略语句中,您可以从支持 CAM 的任何服务中指定任意的 API 操作。对于 TcaplusDB,请使用以 name/tcaplusdb: 为前缀的 API。例如 name/tcaplusdb:DescribeClusters 或者 name/tcaplusdb:DeleteCluster。
如果您要在单个语句中指定多个操作的时候,请使用逗号将它们隔开,如下所示:
"action":["name/tcaplusdb:action1","name/tcaplusdb:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名字以单词 "Describe" 开头的所有操作,如下所示:
"action":["name/tcaplusdb:Describe*"]
如果您要指定 TcaplusDB 中所有操作,请使用 * 通配符,如下所示:
"action":["name/tcaplusdb:*"]
TcaplusDB 的资源路径
每个 TcaplusDB 策略语句都有适用于自己的资源。
资源路径的一般形式如下:
qcs:project_id:service_type:region:account:resource
project_id:描述项目信息,仅为了兼容 CAM 早期逻辑,无需填写。
service_type:产品简称 tcaplusdb。
region:地域信息,如 ap-shanghai。若指定特定资源,则无需填写 region。
account:资源拥有者的主账号信息,如 uin/164xxx472。
resource:各产品的具体资源详情,如集群为 cluster/19168929215 或者 cluster/*;集群,表格组,表格无法级联鉴权,如需要对某一集群下的所有表格或者表格组进行访问控制,不仅需要对集群进行访问控制外,也需要单独为表格组或者表格进行鉴权,下表描述了 TcaplusDB 能够使用的资源和对应的资源描述方法。 |
| qcs::tcaplusdb:$region:$account:cluster/$clusterId |
| qcs::tcaplusdb:$region:$account:tablegroup/$clusterId/$tablegroupId |
| qcs::tcaplusdb:$region:$account:table/$tableId |
例如,您可以使用特定集群(集群 ID 为19168929215)语句中指定它,如下所示:
"resource":[ "qcs::tcaplusdb:ap-shanghai:uin/164xxx472:cluster/19168929215"]
您还可以使用 * 通配符指定属于特定账户上海地域的所有集群,如下所示:
"resource":[ "qcs::tcaplusdb:ap-shanghai:uin/164xxx472:cluster/*"]
您要指定所有资源,或者如果特定 API 操作不支持资源级权限,请在 Resource 元素中使用 * 通配符,如下所示:
如果您想要在一条指令中同时指定多个资源,请使用逗号将它们隔开,如下所示为指定两个集群的例子:
"resource":["qcs::tcaplusdb::uin/164xxx472:cluster/19168929215","qcs::tcaplusdb::uin/164xxx472:cluster/21168929215"]