华云数据CIAM子用户Policy(授权策略)的语法结构

1、Policy的基本结构如下：

2、支持语法格式目前CIAM仅仅支持JSON格式的Policy描述。当创建或更新Policy时，CIAM会首先检查JSON格式的正确性。用户也可以使用一些在线的JSON格式验证器和编辑器来校验JSON文本的有效性。

3、Policy语法语法描述:

4、Policy语法说明：· 当前支持的Policy版本为1。· 一个Policy可以有多条授权语句（Statement）。每条授权语句要么是Deny，要么是Allow。一条授权语句中，Action是一个支持多个操作的列表，Resource也是一个支持多个对象的列表。· 一个用户可以被授予多个Policy，当这些Policy存在多条授权语句既包含有Allow又包含有Deny时，遵循Deny优先（只认Deny不认Allow）原则。· 当元素取值为字符串值时，可以支持()模糊匹配。比如，”cos:Get” 可以表示cos的所有以Get开头的API操作名称。

5、Version授权策略版本号EffectEffect取值为Allow或Deny，代表允许或者拒绝该动作。比如，“Effect”：“Allow”Action授权动作，Action取值为云服务所定义的API操作名称，其格式定义如下：<service-name>：<action-name>

6、格式说明：· service-name: 华云服务名称，如cec，cos等；· action-name: service相关的api操作接口名称样例描述：

7、ResourceResource通常指操作对象，比如CEC虚拟机实例，COS存储对象。我们使用如下格式来命名华云服务的资源。

8、格式说明：· ccs: Chinac Cloud Service的首字母缩写，表示华云公有港嚆挛滔云平台· service-name: 华云服务名称，如cec，cos，rds等· region: 数据中心，如果不支持该项，可以使用通配符“*”号来代替· account-id: 华云主账户ID，比如 1234567890123456，也可以用“*”代替· resource-relative-Id：每个服务定义的资源描述，可使用“*”。如在cos中，"ccs:cos:cn-hangzhou:123456789:bucket/1.txt" 表示一个对象，；样例描述：

9、Policy样例下面该样例包含两条授权语句：第1条授权语句是允许对cos的mybucket存储桶中的对象具有读访问权限，第2条授权语句是允许对cec的杭州region所有资源有查看权限。