tencent cloud

访问管理

产品简介
CAM 概述
产品功能
应用场景
基本概念
使用限制
用户类型
购买指南
快速入门
创建管理员用户
创建子账号并授权
子账号登录控制台
用户指南
概览
用户
访问密钥
用户组
角色
身份提供商
策略
权限边界
排除故障
下载安全分析报告
支持角色的业务
概览
计算
容器
微服务
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
数据库 SaaS 服务
网络
CDN与加速
网络安全
数据安全
应用安全
域名与网站
大数据
中间件
互动视频服务
实时互动
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
支持CAM的业务接口
概览
计算
边缘计算
容器
分布式云
微服务
Serverless
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
网络
CDN与加速
网络安全
终端安全
数据安全
业务安全
应用安全
域名与网站
办公协同
大数据
语音技术
图像创作
腾讯大模型
人工智能平台服务
自然语言处理
文字识别
中间件
通信服务
互动视频服务
实时互动
流媒体服务
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
教育服务
医疗服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
实践教程
安全实践教程
多身份人员权限管理
授予标签下部分操作权限
支持员工间资源隔离访问
企业多账号权限管理
查看员工腾讯云操作记录
使用 ABAC 管理员工资源访问权限
按标签鉴权时支持仅匹配标签键
商用案例
MySQL 相关案例
CLB 相关案例
CMQ 相关案例
COS 相关案例
CVM 相关案例
VPC 相关案例
云点播相关案例
其他案例
API 文档
History
Introduction
API Category
Making API Requests
User APIs
Policy APIs
Role APIs
Identity Provider APIs
Data Types
Error Codes
常见问题
角色相关问题
密钥相关问题
其他问题
CAM 用户与权限问题
词汇表
文档访问管理用户指南策略语法逻辑生效条件生效条件概述

生效条件概述

PDF
聚焦模式
字号
最后更新时间: 2024-01-23 17:54:33
在设置访问管理策略时,您可以指定策略生效的条件(Condition)。生效条件是可选的,设置后,当用户向腾讯云发出请求时,系统会使用请求上下文中的条件键和条件值与您在策略中指定的生效条件的条件键和条件值进行匹配,只有条件匹配成功,对应的权限策略才会生效。

生效条件构成

生效条件由一个或多个条件子句构成。一个条件子句由条件键、运算符和条件值组成,一个条件键可以指定一个或多个条件值。
"condition" : { "{condition-operator}" : { "{condition-key}" : "{condition-value}" }}

条件子句示例

请求 IP 为 192.168.1.1,且请求日期小于2022-05-31 00:00:00,Condition 如下:
"condition":{
                "ip_equal": {
                    "qcs:ip": "192.168.1.1"
                },

                "date_less_than": {
                    "qcs:current_time": "2022-05-31 00:00:00"
                }
            }

生效条件匹配逻辑

生效条件的评估逻辑如下:
评估逻辑
说明
条件满足
一个条件键可以指定一个或多个条件值,在条件检查时,如果条件键的值与指定值中的某一个相同,即可判定条件满足。
条件子句满足
同一条件操作类型的条件子句下,若有多个条件键,则所有条件键必须同时满足,才能判定该条件子句满足。
条件块满足
条件块下的所有条件子句同时满足的情况下,才能判定该条件块满足。
条件运算符(null_equal 除外)加上后缀 if_exist
表示上下文信息中即便不包含对应的键值依然生效。
for_all_value
限定词搭配条件运算符使用,表示上下文信息中条件键的每个条件值都满足要求时才生效。
for_any_value
限定词搭配条件运算符使用,表示上下文信息中条件键的任意一个条件值满足要求时就可以生效。
说明
按标签授权仅支持 for_any_value。

生效条件示例

"condition":{
                "ip_equal": {
                    "qcs:ip": "192.168.1.1"
                }
            }
请求中的条件值由条件键表示,在此示例中为 qcs:ip。将上下文键值与您指定为文本值的值进行比较,例如 192.168.1.1。要进行的比较类型由条件运算符指定(此处为 ip_equal)。
在某些情况下,需要匹配多种访问情况来满足实际需求,这时您可以在设置 Condition 时,指定多个条件值来匹配,例如:用户必须在 10.217.182.3/24 或者 111.21.33.72/24 网段才能上传对象(cos:PutObject),权限策略内容如下:
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cos:PutObject"
            ],
            "resource": [
                "*"
            ],
            "condition":{
                "ip_equal": {
                    "qcs:ip": [
                        "10.217.182.3/24",
                        "111.21.33.72/24"
                    ]
                }
            }
        }
    ]
}

上一篇: 策略变量下一篇: 条件键和条件运算符

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈