访问控制

访问控制RAM（Resource Access Management）是管理用户身份与资源访问权限的服务。 功能特性：RAM允许在账号下创建并管理多个身份，并允许给单个身份或一组身份分配不同的权限，从而实现不同用户拥有不同资源访问权限的目的。

视频教程

用户组

默认用户组

系统初始化后，用户组有内置Admin超级管理员用户组，并内置admin和ganwei两个用户，该用户组无法删除，列表页面上也不会出现删除按钮，该用户组下内置的成员和权限都不可移除。

新建用户组

操作步骤：

点击左上角 + 号按钮弹出新增用户组页面，用户组名称不允许重复。

用户组的成员管理

添加成员

点击添加组成员弹出组成员选择界面，一个用户组只能属于一个用户组，已在用户组里的用户不会在用户下拉列表显示。

用户组的权限管理

添加授权

选中所给的授权，点击 > 按钮，右边列表中显示已选择的策略，点击 确定 按钮，权限添加完成。

查看用户组信息

操作步骤：

点击用户组名称，即可可查看用户组信息，用户组成员信息，用户组权限信息。

提示

查看界面可对组信息进行编辑，添加成员，添加权限。但系统内置成员和权限不可删除。

授权列表

添加授权

点击左上角“+”按钮，会弹出添加授权的界面，选择相应的用户组和对应的策略后点击确定按钮，即可在界面上看到授权成功信息。

移除授权

点击移除授权，即可删除对应的授权

注意

被授权主体为admin的授权为系统默认管理员策略，在此处是无法删除的。

授权策略

在RAM中，权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。 在RAM中，权限策略是一种资源实体。支持以下两种类型的权限策略： 系统权限策略：统一由超级管理员创建，您只能使用不能修改，策略的版本更新由超级管理员维护，适用于粗粒度地控制RAM用户权限。 自定义权限策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护，适用于细粒度地控制RAM用户权限。

操作步骤

系统初始化后，在权限策略界面可以看到，系统有根据模块内置相应的策略，每个模块分为管理和只读两大策略，只读策略：相应模块只能查看查询数据，增删改对应接口没有权限，操作会提示无权限。管理策略：在只读的基础上，拥有增删改的权限。

通过点击每条策略后面的“查看详情”按钮，可查看策略脚本内容，相应策略脚本格式是固定的。

由于之前开发的接口并没有统一规范，并且不同模块有使用同一接口的情况，所以策略内容会有交叉，后续的开发规定接口规范后，不同模块策略可以做到不交叉。

策略脚本解释/约定

这里介绍RAM中权限策略的语法和结构，帮助您正确理解权限策略语法，以完成创建或更新权限策略。

策略脚本的整体结构

Effect: 一个用户组可以被授予多个权限策略。当这些权限策略同时包含Allow和Deny时，遵循Allow优先原则。

Action： 权限采用正则匹配，数组类型，当拥有模块下所有权限时取值[“*”]，成员采用“Control:action”格式，“:”前是接口控制器名称，“:”后是对应接口action名称，antion的匹配可用“*”正则去匹配。

Resource: 资源模块，根据程序中添加的权限模块区分。这里的”Base“代表基线模块。