基本信息
说明:
云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对代金券进行只读操作。
资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某个代金券。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
操作级接口:此类型接口不支持对某一个特定的资源进行授权。
资源级接口在鉴权时,云产品会将具体的资源六段式传给 CAM 鉴权,故支持对某一个具体特定的资源进行授权和鉴权。
操作级接口在鉴权时,云产品不会将具体的资源六段式传给 CAM 鉴权,只会传递任意资源*。因此授权时策略语法若限定了具体的资源,鉴权时此接口不传递该资源,CAM 会判断此接口不在授权范围,会判断为无权限。