策略语法
CAM 策略:
{"version":"2.0","statement":[{"effect":"effect","action":["action"],"resource":["resource"],"condition": {"key":{"value"}}}]}
版本 version 是必填项,目前仅允许值为 “2.0”。
语句 statement 是用来描述一条或多条权限的详细信息。该元素包括 effect、action、resource,condition 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。
操作 action 用来描述允许或拒绝的操作。操作可以是 API(以 ssl 前缀描述)或者功能集(一组特定的 API ,以 permid 前缀描述)。该元素是必填项。
资源 resource 描述授权的具体数据。资源是用六段式描述。每款产品的资源定义详情会有所区别。有关如何指定资源的信息,请参阅您编写的资源声明所对应的产品文档。该元素是必填项。
生效条件 condition 描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。条件值可包括时间、IP 地址等信息。有些服务允许您在条件中指定其他值。该元素是非必填项。
影响 effect 描述声明产生的结果是 “允许” 还是 “显式拒绝”。包括 allow(允许)和 deny(显式拒绝)两种情况。该元素是必填项。
SSL 的操作
在 CAM 策略语句中,您可以从支持 CAM 的任何服务中指定任意的 API 操作。对于 SSL,请使用
ssl: 为前缀指定 action。
您可以在 action 中指定单个或者多个 action。"action":["ssl:action1","ssl:action2"]
您也可以使用通配符指定多项操作。例如,您可以指定名字以单词 “Describe” 开头的所有操作,如下所示:
"action":["ssl:Describe*"]
如果您要指定 ssl 中所有操作,请使用 “*” 通配符,如下所示:
"action":["ssl:*"]
SSL 的资源路径
每个 CAM 策略语句都有适用于自己的资源。 资源路径的一般形式如下:
qcs:project_id:service_type:region:account:resource
project_id:描述项目信息,仅为了兼容 CAM 早期逻辑,无需填写。
service_type:产品简称,例如 ssl。
region:ssl 无地区区分,因此留空。
account:资源拥有者的根账号信息,例如
uin/164256472,可以不填写,不填写的情况下默认为主账号 ownerUin。 resource:资源详情,例如
certificate/{CertId} 或者 certificate/\\*,其中 certificate 为前缀,{CertId} 为证书ID。您可以在资源描述中指定单个或者多个资源,如下所示:
"resource":[ "qcs::ssl:: uin/123456789:certificate/AbcdEfG2", "qcs::ssl:::certificate/AbcdEfG3"]
您还可以使用 * 通配符指定属于特定账户的所有实例,如下所示:
"resource":[ "qcs::ssl::uin/123456789:certificate/*"]
您要指定所有资源,或者如果特定 API 操作不支持资源级权限,请在 Resource 元素中使用 “*” 通配符,如下所示:
"resource": ["*"]
