访问控制身份管理_API文档-阿里云OpenAPI开发者门户

访问控制（RAM）是阿里云提供的管理用户身份与资源访问权限的服务。使用RAM可以让您避免与其他用户共享阿里云账号密钥，并可按需为用户授予最小权限。RAM中使用获取最小权限策略描述授权的具体内容。

本文为您介绍访问控制（Ims）为RAM权限策略定义的操作（Action）、资源（Resource）和条件（Condition）。访问控制（Ims）的RAM代码（RamCode）为 ram、ims，支持的授权粒度为资源级。

权限策略通用结构

权限策略支持JSON格式，其通用结构如下：展开详情

操作(Action)

下表是访问控制（Ims）定义的操作，这些操作可以在RAM权限策略语句的Action元素中使用，用来授予执行该操作的权限。下面对表中的具体项提供说明：展开详情

操作	API	访问级别	资源类型	条件关键字	关联操作

ram:AddClientIdToOIDCProvider	AddClientIdToOIDCProvider 为OIDC身份提供商添加指定客户端ID	Create	OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName}	ram:OidcIssuerUrl	无
ram:AddFingerprintToOIDCProvider	AddFingerprintToOIDCProvider 为OIDC身份提供商添加验证指纹	Create	OIDCProvider acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName}	ram:OidcIssuerUrl	无
ram:AddUserToGroup	AddUserToGroup 将指定的RAM用户添加到指定的用户组	Create	Group acs:ram::{#accountId}:group/{#GroupName} User acs:ram::{#accountId}:user/{#UserName}	无	无
ram:BindMFADevice	BindMFADevice 为RAM用户绑定指定的多因素认证设备	Update	User acs:ram::{#accountId}:user/{#UserName}	无	无
ram:BindPasskey	BindPasskey	None	全部资源 *	无	无
ram:ChangePassword	ChangePassword RAM用户为自己修改控制台登录密码	Update	全部资源 *	无	无
ram:CreateAccessKey	CreateAccessKey 创建阿里云账号（主账号）或RAM用户的访问密钥	Create	User acs:ram::{#accountId}:user/{#UserName}	无	无
ram:CreateAppSecret	CreateAppSecret 为指定的应用创建一个应用密钥	Create	Application acs:ram::{#accountId}:application/{#AppName}	无	无
ram:CreateApplication	CreateApplication 创建一个应用	Create	全部资源 *	无	无
ram:CreateGroup	CreateGroup 创建一个用户组	Create	Group acs:ram::{#accountId}:group/*	无	无

资源（Resource）

下表是访问控制（Ims）定义的资源，这些资源可以在RAM权限策略语句的Resource元素中使用，用来授予对该资源执行具体操作的权限。

其中，资源ARN是资源在阿里云上的唯一标识。具体说明如下：

{#}为变量标识，需要您替换为实际值。例如： {#ramcode} 需要您替换为实际的云服务RAM代码。
*表示全部。例如：
- {#resourceType}/* ：表示全部资源。
- {#regionId}为*时：表示全部地域。
- {#accountId}为*时：表示全部阿里云账号。

资源类型	资源ARN

AccountInfo	acs:ram::{#accountId}:*
Application	acs:ram::{#accountId}:application/{#AppName} acs:ram::{#accountId}:application/*
Group	acs:ram::{#accountId}:group/* acs:ram::{#accountId}:group/{#GroupName}
MFADevice	acs:ram::{#accountId}:mfa/* acs:ram::{#accountId}:mfa/{#SerialNumber}
OIDCProvider	acs:ram::{#accountId}:oidc-provider/{#OIDCProviderName} acs:ram::{#accountId}:oidc-provider/*
SAMLProvider	acs:ram::{#accountId}:saml-provider/{#SAMLProviderName} acs:ram::{#accountId}:saml-provider/*
User	acs:ram::{#AccountId}:user/* acs:ram::{#AccountId}:user/{#UserName}

条件（Condition）

下表是访问控制（Ims）定义的产品级条件关键字，这些条件关键字可以在RAM权限策略语句的Condition元素中使用，用来描述授予权限的条件。以下仅列举产品级的条件关键字，阿里云定义的通用条件关键字也同样适用访问控制（Ims）。

其中，数据类型决定了您可以使用哪些条件运算符将请求中的值与权限策略语句中的值进行比较。您必须使用与数据类型匹配的条件运算符，否则无法匹配策略语句，授权行为无效。数据类型与条件运算符的对应关系，请参见条件操作类型。

条件关键字	描述	类型

ram:MFAOperationForLogin	登录时是否必须使用MFA验证枚举值： mandatoryindependentadaptive	string
ram:OidcIssuerUrl	颁发者URL，由外部IdP提供	string

访问控制 身份管理_API文档