表格存储支持通过RAM Policy、Control Policy、Network ACL和Instance Policy实现对表格存储资源的权限控制。
权限控制方式
表格存储支持使用的权限控制方式包括RAM权限策略RAM Policy、管控策略Control Policy、Network ACL和实例策略Instance Policy。多种权限控制方式支持组合使用,请根据实际配置。
访问控制RAM中的权限策略(RAM Policy)是一种基于用户的授权策略,可以集中管理您的用户(例如员工、系统或应用程序)以及控制用户访问资源的权限。
资源管理Resource Management中的资源目录的管控策略(Control Policy)是一种基于资源结构(资源夹或成员)的访问控制策略,可以统一管理资源目录各层级内资源访问的权限边界。
表格存储中的NetWork ACL是基于资源的网络访问控制功能,可以为单个实例配置网络访问方式。
表格存储中的Instance Policy是基于资源的授权策略,可以为单个实例配置访问权限。
授权说明
不同权限控制方式的适用对应以及能实现的授权场景说明请参见下表。
权限控制方式 | 适用场景 | 归属服务 | 适用对象 | 授权说明 |
RAM Policy | 单一阿里云账号下多个RAM用户、STS访问的权限管理。 | 访问控制 | 首次使用表格存储时,通过RAM Policy为RAM用户授权或者使用临时访问凭证访问表格存储。具体操作,请参见通过RAM Policy为RAM用户授权。 |
|
Control Policy | 企业级组织架构下,各个部门的不同阿里云账号的统一安全策略控制。只能拒绝访问,不能授权。 | 资源管理 | 使用企业账号时,通过资源目录的Control Policy统一管理企业人员的权限。具体操作,请参见通过Control Policy授权。 |
|
Network ACL | 单一阿里云账号下Tablestore服务内单个实例上的统一网络访问控制。 | 表格存储 | 使用表格存储资源时,通过Network ACL控制实例的网络访问类型或访问来源。具体操作,请参见为实例配置NetWork ACL。 |
|
Instance Policy | 单一阿里云账号下Tablestore服务内单个实例上的细粒度API权限管理。 | 表格存储 | 使用表格存储资源时,通过Instance Policy控制实例的访问来源。具体操作,请参见配置Instance Policy。 | 限制访问表格存储实例的客户端IP地址、客户端所属VPC、客户端使用的TLS版本等。 |
权限生效说明
当为RAM用户同时配置了RAM Policy、Control Policy、Network ACL和Instance Policy时,请根据如下条件判断用户是否具有某个操作权限。更多信息,请参见鉴权流程详解。
Control Policy中不能是拒绝相应操作权限的条件。
在Instance Policy和RAM Policy中至少有一个条件对操作进行了授权。
如果Instance Policy或者RAM Policy对同一个操作即进行授权又进行拒绝,则理解为拒绝,即用户无相应操作权限。