策略是访问控制中一组权限点的集合,包含了访问不同云服务的权限。为了方便快速使用,系统预设了不同产品的权限策略,您可以在策略列表中找到需要授权的策略并添加给用户、用户组或角色等身份。
您在授权时,通常需要根据场景授予不同权限,预设策略根据使用场景,大致可以分为两类以及五种权限级别:
分类 | 权限级别 | 说明 | 举例 |
---|---|---|---|
具体云产品的权限 | 服务完全权限 | 拥有相应云服务的全部权限。部分云服务的使用依赖一些其他云服务的操作,因此服务完全权限也可能会额外包含其他服务的部分操作权限。 | RDSMySQLFullAccess(产品云数据库 MySQL 版的全部权限) |
服务只读权限 | 拥有相应云服务的查看权限,不包含新建、删除、变更的权限。 | RDSReadOnlyAccess(产品云数据库 MySQL 版的查看权限) | |
服务有限权限 | 拥有相应云服务部分功能模块的权限,可能包含部分功能模块的新建、删除和变更权限。 | CDNSSLFullAccess(产品内容分发网络内证书管理相关的操作权限) | |
整个账号的全局权限 | 全局超级管理员 | 拥有全部云服务的全部权限,包括为其他身份进行授权的权限。注:少部分云服务的权限在产品内部进行管理,该权限不包含这部分产品的权限。 | AdministratorAccess(全部云服务的全部权限) |
全局只读权限 | 拥有全部云服务的查看权限,不包含新建、删除和变更的权限。注:少部分云服务的权限在产品内部进行管理,该权限不包含这部分产品的权限。 | ReadOnlyAccess(全部云服务的查看权限) |
说明
服务完全权限、服务只读权限和服务有限权限除了包含服务自身的操作权限外,可能会包含少部分其他服务的权限,以满足使用部分云服务可能会依赖访问其他服务的场景。
您可以在策略列表中查看系统预设策略所属的产品服务及权限级别,并按需进行筛选:
您还可以在策略列表中直接查看策略的JSON语法:
或者切换查看策略的摘要解读:
参考:常用的系统预设策略。
如果系统预设策略不能满足你的需求,您可以自定义权限策略,实现更精细化的权限定义。