Policy语言(授权策略语言描述).docxVIP

Policy语法结构本文介绍 RAM 中授权策略（Policy）的语法结构和规则，帮助您正确理解和使用。日常应用中，您可在本文中快速查阅以下内容：Policy 结构，Policy 语法，Policy 元素使用，以及?Policy 样例。Policy 结构授权策略（Policy）结构包括 Policy 版本号及授权语句（Statement）列表。每个授权语句又包括以下元素：Effect（授权类型）、Action（操作名称列表）、Resource（操作对象列表）以及?Condition（条件限制），其中 Condition 是可选项。Policy 结构简述如下：格式检查（JSON）RAM 仅支持 JSON 格式的描述。当创建或更新 Policy 时，RAM 会首先检查 JSON 格式的正确性。关于 JSON 的语法标准请参考?RFC 7159。用户也可以使用一些在线的 JSON 格式验证器和编辑器来校验 JSON 文本的有效性。Policy 语法了解 Policy 中用到的字符及规则，以及 Policy 语法描述。字符及规则Policy 中所包含的 JSON 字符有：{ } [ ] , :；描述语法使用的特殊字符有：= ( ) |。字符使用说明如下：当一个元素允许多值时，使用逗号和省略号来表达，比如：[ action_string, action_string, ...]。在所有支持多值的语法中，使用单值也是有效的。而且两种表达方式是等效的：Action: [action_string]?和?Action: action_string带有问号的元素表示这是一个可选元素，比如：condition_block?多值之间用竖线（|）隔开，表示取值只能选取这些值中的某一个。比如：(Allow | Deny)使用双引号引起了的元素，表示它是文本串。比如：?version_block = Version : (1)语法描述及说明Policy 语法描述如下：policy ={version_block,statement_block}version_block=Version:(1)statement_block=Statement:[statement,statement,...]statement={effect_block,action_block,resource_block,condition_block?}effect_block=Effect:(Allow|Deny)action_block=(Action|NotAction):(*|[action_string,action_string,...])resource_block=(Resource|NotResource):(*|[resource_string,resource_string,...])condition_block=Condition:condition_mapcondition_map={condition_type_string:{condition_key_string:condition_value_list,condition_key_string:condition_value_list,...},condition_type_string:{condition_key_string:condition_value_list,condition_key_string:condition_value_list,...},...}condition_value_list=[condition_value,condition_value,...]condition_value=(String|Number|Boolean)语法说明如下：版本：当前支持的 Policy 版本为 1。授权语句：一个 Policy 可以有多条授权语句。每条授权语句要么是 Deny，要么是 Allow。一条授权语句中，Action 是一个支持多个操作的列表，Resource 也是一个支持多个对象的列表。每条授权语句都支持独立的限制条件（Condition）。一个条件块可以支持多种条件操作类型，以及对这多种条件的逻辑组合。Deny 优先：一个用户可以被授予多个 Policy，当这些 Policy 存在多条授权语句既包含有 Allow 又包含有 Deny 时，遵循 Deny 优先（只认 Deny 不认 Allow）原则。元素取值：当取值为数字（Number）或布尔值（Boolean）时，与字符串类似，需要用双引号引起。当元素取值为字符串值（String）时，支持（*）和（？）模糊匹配。(*) 代表 0 个或多个任意的英文字母。(?) 代表 1 个任意的英文字母。比如，ecs