资源访问管理 RAM-权限管理:RAM权限

时间：2025-03-06 14:37:59

资源访问管理 RAM

默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户可以基于已有权限进行对应的操作。

RAM部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问RAM时，不需要切换区域。

根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

如表1所示，包括了RAM的所有系统权限。

表1 RAM系统权限
权限名称	描述
RAM FullAccess	资源访问管理服务所有权限。
RAM ReadOnlyAccess	资源访问管理服务只读权限。
RAM ResourceShareParticipantAccess	资源访问管理服务资源共享邀请的处理权限。

表2列出了RAM常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。“√”表示支持，“×”表示暂不支持。

表2 常用操作与系统权限的关系
操作	RAM FullAccess	RAM ReadOnlyAccess	RAM ResourceShareParticipantAccess
检索共享资源权限列表	√	√	x
检索共享资源权限内容	√	√	x
创建资源共享实例	√	x	x
检索资源共享实例	√	√	√
更新资源共享实例	√	x	x
删除资源共享实例	√	x	x
绑定资源使用者和共享资源	√	x	x
移除资源使用者和共享资源	√	x	x
检索绑定的资源使用者和共享资源	√	√	x
绑定或替换共享资源权限	√	x	x
移除共享资源权限	√	x	x
检索绑定的共享资源权限	√	√	x
检索共享的资源	√	√	√
检索资源使用者	√	√	√
接受共享邀请	√	x	√
拒绝共享邀请	√	x	√
检索共享邀请	√	√	√
启用与组织共享	√	x	x
关闭与组织共享	√	x	x
检索是否启用与组织共享	√	√	x