策略元素
京东云 IAM 策略(Policy)由以下元素组成:
- Version 策略版本
- Effect 效力
- Action 操作
- Resource 资源
- Condition 生效条件
- Principal 委托人
元素介绍
Version
必填项,描述策略语法版本。京东云当前的策略版本为 v3。示例:
"version": "3"
Statement
必填项,描述一条或多条权限的Json信息。该元素包含下述的 effect、action、resource、condition等多个其他元素的权限或权限集合。一条策略有且仅有一个statement 元素。
Effect
必填项,包括 allow(允许)和deny(显式拒绝)两种情况。 当同一操作在策略中既有允许(Allow)又有拒绝(Deny)的时,遵循 Deny 优先的原则,操作将被拒绝。示例:
"effect":"Allow"
Action
必填项,定义京东云的一个或一组api。示例:
"action":"vm:createInstance"
Resource
必填项,描述京东云的一个或多个资源。京东云资源采用六段式 jrn 描述,使用 jrn 可以全局指定一个资源:
jrn:<service_name>:<region>:<accountId>:<resourceType>/<resourceId><subresouceType>/<subresouceId>
示例:
"resource":"jrn:rds:cn-north-1:859150329790:database/mysql-ow3z4pnmm2/table/billing"
如指定某产品线的全部资源,其jrn为:
"resource":"jrn:rds:*:859150329790:*"
Condition
选填项,描述策略生效的约束条件。条件包括条件运算符、条件键和条件值组成。京东云目前支持指定资源标签作为策略生效条件。 如指定带有 department = finance 标签的资源,其 condition 为:
"Condition": {"StringEquals": {"JDCloud:ResourceTag/department":["finance"]}}
Principal
选填项,指定允许或拒绝访问资源的委托人。基于身份的策略(系统策略和自定义策略)中不可使用 principal 元素,但在角色的信任策略中,可使用 principal 元素来指定角色的信任实体。示例:
json
{
"Version": "3",
"Statement":
[
{
"Effect": "Allow",
"Principal": "jrn:iam::859150329790:root",
"Action":"sts:assumeRole",
"Resource":"*"
}]
}
策略示例
定义一条策略,允许查询账号下所有带有标签 department = finance 的云主机:
json
{
"Version": "3",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vm:describeInstance",
"vm:describeInstances"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"JDCloud:ResourceTag/department": [
"finance"
]
}
}
}
]
}
