组织 ORGANIZATIONS-SCP语法介绍:策略参数
下载组织 ORGANIZATIONS用户手册完整版
策略参数
策略参数包含Version和Statement两部分,下面介绍策略参数详细说明。
|
参数 |
是否必选 |
含义 |
值 |
|
|---|---|---|---|---|
|
Version |
必选 |
策略的版本。 |
5.0(不可自定义) |
|
|
Statement: 策略的授权语句 |
Statement Sid |
可选 |
策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 |
用户自定义字符串。 |
|
Effect:作用 |
必选 |
定义Action中的操作权限是否允许执行。 |
说明:
|
|
|
Action:授权项 |
Allow时必选。 Deny时与NotAction二选一。 |
操作权限。 |
格式为“服务名:资源类型:操作”。授权项支持通配符号*,通配符号*表示所有。 参数中的通配符*和?只能单独使用或放在字符串结尾处。它不能出现在字符串的开头或中间部分。 例如“vpc:subnets:list”:表示查看VPC子网列表权限,其中vpc为服务名,subnets为资源类型,list为操作。 |
|
|
NotAction |
Allow时不可选。 Deny时与Action二选一。 |
Deny时,NotAction列出的操作或服务不受当前策略影响,即除了NotAction列表中的操作之外,其他操作deny。 |
格式同Action。 |
|
|
Condition:条件 |
Allow时不可选。 |
使策略生效的特定条件,包括条件键和运算符。 |
格式为“条件运算符:{条件键:[条件值1,条件值2]}”。 如果您设置多个条件,同时满足所有条件时,该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}:表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 |
|
|
Resource:资源类型 |
可选 未指定时,Resource默认为“*”,策略应用到所有资源。 |
策略所作用的资源。 |
Allow时,只能为“*”。 Deny时,可选择“*”或具体资源,格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*,通配符号*表示所有。 示例:"ecs:*:*:instance:*":表示所有的E CS 实例。 |
|
SCP中不支持以下元素:
- Principal
- NotPrincipal
- NotResource
