资源访问管理 RAM-权限管理:RAM权限

时间：2024-04-19 17:26:58

资源访问管理 RAM

默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户可以基于已有权限进行对应的操作。

RAM部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问RAM时，不需要切换区域。

根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

如表1所示，包括了RAM的所有系统权限。

表1 RAM系统权限
权限名称	描述
RAM FullAccess	资源访问管理服务所有权限。
RAM ReadOnlyAccess	资源访问管理服务只读权限。
RAM ResourceShareParticipantAccess	资源访问管理服务资源共享邀请的处理权限。