数据仓库服务 GAUSSDB(DWS)-策略语法：细粒度策略:策略语法

时间：2024-10-10 15:27:18

数据仓库服务 GAUSSDB(DWS) 准备工作

策略语法

在 IAM 左侧导航窗格中，单击“策略”，单击策略名称，可以查看策略的详细内容，以“DWS ReadOnlyAccess”为例，说明细粒度策略的语法。

图2 设置策略

{
        "Version": "1.1",
        "Depends": [],
        "Statement": [
                {
                        "Effect": "Allow",
                        "Action": [
                                "dws:*:get*",
                                "dws:*:list*",
                                "ecs:*:get*",
                                "ecs:*:list*",
                                "vpc:*:get*",
                                "vpc:*:list*",
                                "evs:*:get*",
                                "evs:*:list*",
                                "mrs:*:get*",
                                "bss:*:list*",
                                "bss:*:get*"
                        ]
                }
        ]
}

Version：标识策略的版本号，主要用于区分Role-Based Access Control（RBAC）策略和细粒度策略。
- 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。
- 1.1：经典细粒度策略。相比RBAC策略，细粒度策略基于服务的API接口进行权限拆分，授权更加精细。授权后，用户可以对这个服务执行特定的操作。细粒度策略包括系统预置和用户自定义两种。
Depends：依赖项。
Statement：策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。
- Effect（作用）
  作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含Allow（允许）的授权语句，自定义策略中可以同时包含Allow（允许）和Deny（拒绝）的授权语句，当策略中既有Allow（允许）又有Deny（拒绝）的授权语句时，遵循Deny（拒绝）优先的原则。
- Action（授权项）
  对资源的具体操作权限，格式为：“服务名:资源类型:操作”，支持单个或多个操作权限，支持通配符号*，通配符号表示所有。
  
  示例："dws:cluster:create"，其中dws为服务名，cluster为资源类型，create为操作，该授权项表示创建 GaussDB (DWS) 集群的权限。