访问控制
# 访问控制
访问控制RAM(Resource Access Management)是管理用户身份与资源访问权限的服务。 功能特性:RAM允许在账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。
# 视频教程
# 用户组
默认用户组
系统初始化后,用户组有内置Admin超级管理员用户组,并内置admin和ganwei两个用户,该用户组无法删除,列表页面上也不会出现删除按钮,该用户组下内置的成员和权限都不可移除。
# 新建用户组
操作步骤:
点击左上角 + 号按钮弹出新增用户组页面,用户组名称不允许重复。
# 用户组的成员管理
添加成员
点击添加组成员弹出组成员选择界面,一个用户组只能属于一个用户组,已在用户组里的用户不会在用户下拉列表显示。
# 用户组的权限管理
添加授权
选中所给的授权,点击 > 按钮,右边列表中显示已选择的策略,点击 确定 按钮,权限添加完成。
# 查看用户组信息
操作步骤:
点击用户组名称,即可可查看用户组信息,用户组成员信息,用户组权限信息。提示
查看界面可对组信息进行编辑,添加成员,添加权限。但系统内置成员和权限不可删除。
# 授权列表
添加授权
点击左上角“+”按钮,会弹出添加授权的界面,选择相应的用户组和对应的策略后点击确定按钮,即可在界面上看到授权成功信息。
移除授权
点击移除授权,即可删除对应的授权
注意
被授权主体为admin的授权为系统默认管理员策略,在此处是无法删除的。
授权策略
在RAM中,权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。 在RAM中,权限策略是一种资源实体。支持以下两种类型的权限策略: 系统权限策略:统一由超级管理员创建,您只能使用不能修改,策略的版本更新由超级管理员维护,适用于粗粒度地控制RAM用户权限。 自定义权限策略:您可以自主创建、更新和删除,策略的版本更新由您自己维护,适用于细粒度地控制RAM用户权限。
操作步骤
系统初始化后,在权限策略界面可以看到,系统有根据模块内置相应的策略,每个模块分为管理和只读两大策略,只读策略:相应模块只能查看查询数据,增删改对应接口没有权限,操作会提示无权限。管理策略:在只读的基础上,拥有增删改的权限。
通过点击每条策略后面的“查看详情”按钮,可查看策略脚本内容,相应策略脚本格式是固定的。
由于之前开发的接口并没有统一规范,并且不同模块有使用同一接口的情况,所以策略内容会有交叉,后续的开发规定接口规范后,不同模块策略可以做到不交叉。
# 策略脚本解释/约定
这里介绍RAM中权限策略的语法和结构,帮助您正确理解权限策略语法,以完成创建或更新权限策略。
策略脚本的整体结构
Effect: 一个用户组可以被授予多个权限策略。当这些权限策略同时包含Allow和Deny时,遵循Allow优先原则。
Action: 权限采用正则匹配,数组类型,当拥有模块下所有权限时取值[“*”],成员采用“Control:action”格式,“:”前是接口控制器名称,“:”后是对应接口action名称,antion的匹配可用“*”正则去匹配。
Resource: 资源模块,根据程序中添加的权限模块区分。这里的”Base“代表基线模块。