• 关于

    控制策略是什么

    的搜索结果

问题

什么是流量控制策略?

轩墨 2019-12-01 21:06:44 1332 浏览量 回答数 0

问题

阿里云的安全组策略和 iptables 有什么关系

亚科 2019-12-01 20:19:03 2203 浏览量 回答数 1

问题

我在阿里云控制台创建角色时候显示策略规则错误,但是同样的规则在创建授权策略时能够通过,这是什么原因呢?

hackboy 2019-12-01 19:41:14 1112 浏览量 回答数 1

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

问题

E-MapReduceOSS 数据权限隔离是什么?

nicenelly 2019-12-01 21:21:58 884 浏览量 回答数 0

问题

为什么经过平滑扩容后(再增加一个 RDS 实例),分库总数依然是8?

猫饭先生 2019-12-01 21:21:32 952 浏览量 回答数 0

回答

阿里云有快照服务 1. 快照 2.0 服务包括哪些内容? 快照 2.0 服务主要包括四方面内容: 优化打快照时的块存储 I/O 性能:大部分情况下打快照对块存储 I/O 性能的影响在 10% 以内。 更加灵活的自动快照策略:支持自定义快照时间点、每周重复日期、快照保留时长,可查询自动快照策略关联的磁盘数及具体情况。 不同块存储可以选择不同的自动快照策略。 快照链:快照链是每个磁盘所有快照的集合,也是快照所使用容量的载体。 2. 快照有什么用途? 快照可为 ECS 块存储提供时间点的数据副本,有以下作用: 数据备份:利用自动快照可以自动化的实现云服务器的数据备份。 数据恢复:若因误操作/被攻击等数据丢失时,可通过快照回滚恢复快照时间点的数据。 云服务器克隆:利用快照创建磁盘,可让云服务器以快照时间点的数据进行工作,完整的克隆云服务器上的应用环境配置。 3. 快照 2.0 服务支持的云盘类型? 目前快照 2.0 服务支持普通云盘、高效云盘、SSD 云盘。您在控制台配置自动快照策略、并对云盘启动自动快照策略后,自动快照功能即可立即生效。 4. 快照数量有什么限制? 快照 2.0 服务上线后,每个磁盘拥有 64 个快照额度。 5. 快照保留时长怎样? 通过控制台或   CreateSnapshot  创建的快照会永久保留(除非手动删除)。 新的自动快照策略可配置快照保留时长,快照超过设定的保留时长后将被删除掉。 6. 打快照对块存储 I/O 性能有多少影响? 通常情况下,打快照对块存储 I/O 性能的损耗在 10% 以内。 7. 快照怎么收费? 快照服务作为客户在使用 ECS 实例时不可或缺的数据备份手段,自 2011 年以来,一直处在免费公测的阶段。 为了提供更好的 ECS 快照服务体验,优化快照数据存储使用成本,我们计划调整快照商业化正式收费时间,具体内容如下: 正式收费时间从原定 2017 年 6 月 1 日推迟到 2017 年 7 月 3 日上午 10 点,从即日起至 7 月 3 日上午 10 点,继续免收快照服务存储费用,但您仍可在费用中心查看快照账单详情; 阿里云计划对 ECS 快照收费标准和服务流程进行调整,详情见: 7 月 3 日阿里云ECS 快照服务价格调整公告 8. 老的自动快照策略什么时候不可用? 快照 2.0 服务上线后,ECS 控制台只能查看及管理新的自动快照策略,老的自动快照策略不可见。 之前已启用过老的自动快照策略的磁盘将继续打快照,直至 2016 年 3 月 31 日,届时老的自动快照策略将自动下线。 9. 老的快照策略产生的快照什么时候删除? 快照 2.0 服务上线后,老的快照策略生产的快照保留将继续遵循 3+1 的策略(最近三天+上周末一个快照)。 2016 年 3 月 31 日下线老的快照策略后,按照 3+1 的保留策略,从 4 月 1 日起,老的自动快照将被陆续删除,至 4 月 4 日自动快照全部不再保留,手动快照不受影响。 望采纳!🙏

元芳啊 2019-12-02 00:06:53 0 浏览量 回答数 0

回答

本教程示例详细演示了如何控制用户对 OSS 存储空间和文件夹的访问。在示例中,我们首先创建一个存储空间和文件夹,然后使用阿里云主账号创建访问管理 (RAM) 用户,并为这些用户授予对所创建 OSS 存储空间及文件夹的增量权限。 存储空间和文件夹的基本概念 阿里云 OSS 的数据模型为扁平型结构,所有文件都直接隶属于其对应的存储空间。因此,OSS 缺少文件系统中类似于目录与子文件夹的层次结构。但是,您可以在 OSS 控制台上模拟文件夹层次结构。在该控制台中,您可以按文件夹对相关文件进行分组、分类和管理,如下图所示。     OSS 提供使用键值(key)对格式的分布式对象存储服务。用户根据其唯一的key(对象名)检索对象的内容。例如,名为 example-company 的存储空间有三个文件夹:Development、 Marketing 和 Private,以及一个对象 oss-dg.pdf。 在创建   Development  文件夹时,控制台会创建一个key为 Development/的对象。注意,文件夹的key包括分隔符   /。 当您将名为ProjectA.docx的对象上传到Development文件夹中时,控制台会上传该对象并将其key设置为Development/ProjectA.docx。 在该key中,Development为前缀,而/为分隔符。您可以从存储空间中获取具有特定前缀和分隔符的所有对象的列表。在控制台中,单击Development文件夹时,控制台会列出文件夹中的对象,如下图所示。 说明  当控制台列出   example-company存储空间中的   Development文件夹时,它会向 OSS 发送一个用于指定前缀   Development和分隔符   /的请求。控制台的响应与文件系统类似,会显示文件夹列表。上例说明,存储空间 example-company有三个对象,其key分别为   Development/Alibaba Cloud.pdf、 Development/ProjectA.docx及   Development/ProjectB.docx。 控制台通过对象的key推断逻辑层次结构。当您创建对象的逻辑层次结构时,您可以管理对个别文件夹的访问,如本教程后面描述的那样。 在本教程开始之前,您还需要知道“根级”存储空间内容的概念。假设example-company存储空间包含以下对象: Development/Alibaba Cloud.pdf Development/ProjectA.docx Development/ProjectB.docx Marketing/data2016.xlsx Marketing/data2016.xlsx Private/2017/images.zip Private/2017/promote.pptx oss-dg.pdf 这些对象的key构建了一个以 Development、Marketing 和 Private 作为根级文件夹并以 oss-dg.pdf 作为根级对象的逻辑层次结构。当您单击 OSS 控制台中的存储空间名时,控制台会将一级前缀和一个分隔符(Development/、Marketing/ 和 Private/)显示为根级文件夹。对象 oss-dg.pdf 没有前缀,因此显示为根级别项。   OSS 的请求和响应逻辑 在授予权限之前,我们需要清楚,当用户单击某个存储空间的名字时控制台向 OSS 发送的是什么请求、OSS 返回的是什么响应,以及控制台如何解析该响应。 当用户单击某个存储空间名时,控制台会将GetBucket 请求发送至 OSS。此请求包括以下参数: prefix,其值为空字符串。 delimiter,其值为 /。 请求示例如下所示: GET /?prefix=&delimiter=/ HTTP/1.1 Host: example-company.oss-cn-hangzhou.aliyuncs.com Date: Fri, 24 Feb 2012 08:43:27 GMT Authorization: OSS qn6qrrqxo2oawuk53otfjbyc:DNrnx7xHk3sgysx7I8U9I9IY1vY= OSS 返回的响应包括ListBucketResult元素: HTTP/1.1 200 OK x-oss-request-id: 534B371674E88A4D8906008B Date: Fri, 24 Feb 2012 08:43:27 GMT Content-Type: application/xml Content-Length: 712 Connection: keep-alive Server: AliyunOSS <?xml version="1.0" encoding="UTF-8"?><ListBucketResult xmlns=¡±http://doc.oss-cn-hangzhou.aliyuncs.com¡±><Name>example-company</Name><Prefix></Prefix><Marker></Marker><MaxKeys>100</MaxKeys><Delimiter>/</Delimiter> <IsTruncated>false</IsTruncated> <Contents> <Key>oss-dg.pdf</Key> ... </Contents> <CommonPrefixes> <Prefix>Development</Prefix> </CommonPrefixes> <CommonPrefixes> <Prefix>Marketing</Prefix> </CommonPrefixes> <CommonPrefixes> <Prefix>Private</Prefix> </CommonPrefixes></ListBucketResult> 由于 oss-dg.pdf 不包含/分隔符,因此 OSS 在<Contents/>元素中返回该key。存储空间 example-company 中的所有其他key都包含/分隔符,因此 OSS 会将这些key分组,并为每个前缀值 Development/、Marketing/ 和 Private/ 返回一个<CommonPrefixes/>元素。该元素是一个字符串,包含从这些key的第一个字符开始到第一次出现指定的/分隔符之间的字符。 控制台会解析此结果并显示如下的根级别项:   现在,如果用户单击Development文件夹,控制台会将GetBucket请求发送至 OSS。此请求包括以下参数: prefix,其值为   Development/。 delimiter,其值为   /。 请求示例如下所示: GET /?prefix=Development/&delimiter=/ HTTP/1.1 Host: oss-example.oss-cn-hangzhou.aliyuncs.com Date: Fri, 24 Feb 2012 08:43:27 GMT Authorization: OSS qn6qrrqxo2oawuk53otfjbyc:DNrnx7xHk3sgysx7I8U9I9IY1vY= 作为响应,OSS 返回以指定前缀开头的key: HTTP/1.1 200 OK x-oss-request-id: 534B371674E88A4D8906008B Date: Fri, 24 Feb 2012 08:43:27 GMT Content-Type: application/xml Content-Length: 712 Connection: keep-alive Server: AliyunOSS <?xml version="1.0" encoding="UTF-8"?><ListBucketResult xmlns=¡±http://doc.oss-cn-hangzhou.aliyuncs.com¡±><Name>example-company</Name><Prefix>Development/</Prefix><Marker></Marker><MaxKeys>100</MaxKeys><Delimiter>/</Delimiter> <IsTruncated>false</IsTruncated> <Contents> <Key>ProjectA.docx</Key> ... </Contents> <Contents> <Key>ProjectB.docx</Key> ... </Contents></ListBucketResult> 控制台会解析此结果并显示如下的key:   教程示例 本教程示例如下所示: 创建一个存储空间example-company,然后向其中添加三个文件夹(Development、Marketing 和 Private)。 您有Anne和Leo两个用户。您希望Anne只能访问 Development文件夹而Leo则只能访问 Marketing文件夹,并且希望将 Private文件夹保持私有。在教程示例中,通过创建访问控制 (RAM) 用户(Anne和Leo)来管理访问权限,并授予他们必要的权限。 RAM 还支持创建用户组并授予适用于组中所有用户的组级别权限。这有助于更好地管理权限。在本示例中,Anne和Leo都需要一些公共权限。因此,您还要创建一个名为Staff 的组,然后将Anne和Leo添加到该组中。首先,您需要给该组分配策略授予权限。然后,将策略分配给特定用户,添加特定用户的权限。 说明  本教程示例使用example-company作为存储空间名、使用Anne和Leo作为RAM用户名并使用Staff作为组名。由于阿里云OSS要求存储空间名全局唯一,所以您需要用自己的存储空间名称替换本教程中的存储空间名。 示例准备 本示例使用阿里云主账号创建RAM用户。最初,这些用户没有任何权限。您将逐步授予这些用户执行特定 OSS 操作的权限。为了测试这些权限,您需要使用每个用户的RAM账号登录到控制台。当您作为主账号所有者逐步授予权限并作为RAM用户测试权限时,您需要每次使用不同账号进行登录和注销。您可以使用一个浏览器来执行此测试。如果您可以使用两个不同的浏览器,则该测试过程用时将会缩短:一个浏览器用于使用主账号连接到阿里云控制台,另一个浏览器用于使用RAM 账号进行连接。 要使用您的主账号登录到阿里云控制台。 RAM用户不能使用相同的链接登录。他们必须使用RAM用户登录链接。作为主账号所有者,您可以向RAM用户提供此链接。 说明  有关 RAM 的详细信息,请参见 使用 RAM 用户账号登录。 为 RAM 用户提供登录链接 使用主账号登录 RAM 控制台。 在左侧导航栏中,单击 概览。 在 RAM用户登录链接 后找到URL。您将向RAM用户提供此URL,以便其使用RAM用户名和密码登录控制台。 步骤 1:创建存储空间 在此步骤中,您可以使用主账号登录到OSS控制台、创建存储空间、将文件夹(Development、Marketing、Private)添加到存储空间中,并在每个文件夹中上传一个或两个示例文档。 使用主账号登录 OSS 控制台。 创建名为 example-company  的存储空间。 有关详细过程,请参见OSS 控制台用户指南中的创建存储空间 。 将一个文件上传到存储空间中。 本示例假设您将文件 oss-dg.pdf 上传到存储空间的根级别。您可以用不同的文件名上传自己的文件。 有关详细过程,请参见 OSS 控制台用户指南中的上传文件。 添加名为 Development、Marketing 和 Private 的三个文件夹。 有关详细过程,请参见 OSS 控制台用户指南 中的创建文件夹。 将一个或两个文件上传到每个文件夹中。 本例假设您将具有以下对象键的对象上传到存储空间中: Development/Alibaba Cloud.pdf Development/ProjectA.docx Development/ProjectB.docx Marketing/data2016.xlsx Marketing/data2016.xlsx Private/2017/images.zip Private/2017/promote.pptx oss-dg.pdf 步骤 2:创建 RAM 用户和组 在此步骤中,您使用 RAM 控制台将两个 RAM 用户 Anne 和 Leo 添加到主账号中。您还将创建一个名为 Staff 的组,然后将这两个用户添加到该组中。 说明  在此步骤中,不要分配任何授予这些用户权限的策略。在以下步骤中,您将逐步为其授予权限。 有关创建 RAM 用户的详细过程,请参见 RAM 快速入门中的创建 RAM 用户。请为每个 RAM 用户创建登录密码。 有关创建组的详细过程,请参见 RAM 用户指南中的创建组。 步骤 3:确认 RAM 用户没有任何权限 如果您使用两个浏览器,现在可以在另一个浏览器中使用其中一个 RAM 用户账号登录到控制台。 打开 RAM 用户登录链接,并用 Anne 或 Leo 的账号登录到 RAM 控制台。 打开 OSS 控制台。 您发现控制台中没有任何存储空间,这意味着 Anne 不具有对存储空间 example-company 的任何权限。 步骤 4:授予组级别权限 我们希望 Anne 和 Leo 都能执行以下操作: 列出主账号所拥有的所有存储空间。 为此,Anne 和 Leo 必须具有执行 oss:ListBuckets 操作的权限。 列出 example-company 存储空间中的根级别项、文件夹和对象。 为此,Anne 和 Leo 必须具有对 example-company 存储空间执行 oss:ListObjects 操作的权限。 步骤 4.1.授予列出所有存储空间的权限 在此步骤中,创建一个授予用户最低权限的策略。凭借最低权限,用户可列出主账号所拥有的所有存储空间。您还将此策略分配给 Staff 组,以便授予获得主账号拥有的存储空间列表的组权限。 使用主账号登录 RAM 控制台。 创建策略   AllowGroupToSeeBucketListInConsole。 在左侧导航窗格中,单击 策略管理,然后单击 新建授权策略。 单击 空白模板。 在 授权策略名称 字段中,输入 AllowGroupToSeeBucketListInConsole。 在 策略内容 字段中,复制并粘贴以下策略。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets" ], "Resource": [ "acs:oss:*:*:*" ] } ] } 说明  策略为 JSON 文档。在该策略中,Statement 是一个对象数组,每个对象使用名/值对的集合来描述权限。前面的策略描述了一个特定的权限。Effect 元素值决定是允许还是拒绝特定的权限。Action 指定访问权限的类型。在本策略中,oss:ListBuckets 是预定义的 OSS 操作,可返回经过身份验证的发送者所拥有的所有储存空间的列表。 将   AllowGroupToSeeBucketListInConsole  策略分配给 Staff 组。 有关分配策略的详细过程,请参见 RAM 快速入门 中将策略分配给 RAM 用户的将策略分配给 RAM 组。 可以将策略分配给 RAM 控制台中的 RAM 用户和组。在本例中,我们将策略分配给组,因为我们希望 Anne 和 Leo 都能够列出这些存储空间。 测试权限。 打开 RAM 用户登录链接,并用 Anne 或 Leo 的账号登录到 RAM 控制台。 打开 OSS 控制台。 控制台列出所有存储空间。 单击 example-company 存储空间,然后单击 文件选项卡。 此时将显示一个消息框,表明您没有相应的访问权限。 步骤 4.2.授予列出存储空间根级内容的权限 在此步骤中,您授予权限,允许所有用户列出存储空间 example-company 中的所有项目。当用户在 OSS 控制台中单击 example-company 时,能够看到存储空间中的根级别项。   使用主账号登录 RAM 控制台。 用以下策略取代分配给 Staff 组的现有策略 AllowGroupToSeeBucketListInConsole,该策略还允许 oss:ListObjects 操作。请用您的存储空间名替换策略资源中的 example-company。 有关详细过程,请参见 RAM 用户指南中授权策略的修改自定义授权策略部分。注意,您最多可对 RAM 策略进行五次修改。如果超过了五次,则需要删除该策略并创建一个新的策略,然后再次将新策略分配给 Staff 组。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets", "oss:GetBucketAcl" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringLike": { "oss:Prefix": [ "" ], "oss:Delimiter": [ "/" ] } } } ] } 说明 要列出存储空间内容,用户需要调用 oss:ListObjects 操作的权限。为了确保用户仅看到根级内容,我们添加了一个条件:用户必须在请求中指定一个空前缀,也就是说,他们不能单击任何根级文件夹。我们还通过要求用户请求包含分隔符参数和值   /  来添加需要文件夹样式访问的条件。 当用户登录到 OSS 控制台时,控制台检查用户的身份是否有访问 OSS 服务的权限。要在控制台中支持存储空间操作,我们还需要添加 oss:GetBucketAcl 操作。 测试更新的权限。 打开 RAM 用户登录链接,并用 Anne 或 Leo 的账号登录到 RAM 控制台。 打开 OSS 控制台。 控制台列出所有存储空间。 单击 example-company 存储空间,然后单击 文件选项卡。 控制台列出所有根级别项。 单击任何文件夹或对象 oss-dg.pdf。 此时将显示一个消息框,表明您没有相应的访问权限。 组策略摘要 添加组策略的最终结果是授予 RAM 用户 Anne 和 Leo 以下最低权限: 列出主账号所拥有的所有存储空间。 查看 example-company 存储空间中的根级别项。 然而,他们可以进行的操作仍然有限。在以下部分中,我们将授予用户以下特定权限: 允许 Anne 在 Development 文件夹中获取和放入对象。 允许 Bob 在 Finance 文件夹中获取和放入对象。 对于用户特定的权限,您需要将策略分配给特定用户,而非分配给组。以下部分授予 Anne 在 Development 文件夹中操作的权限。您可以重复这些步骤,授予 Leo 在 Finance 文件夹中进行类似操作的权限。 步骤 5:授予 RAM 用户 Anne 特定权限 在此步骤中,我们向 Anne 授予额外的权限,使她可以看到 Development 文件夹的内容,并将对象放入文件夹中。 步骤 5.1.授予 RAM 用户 Anne 权限以列出 Development 文件夹内容 若要 Anne 能够列出 Development 文件夹内容,您必须为其分配策略。该策略必须能够授予其对 example-company 存储空间执行 oss:ListObjects 操作的权限,还必须包括要求用户在请求中指定前缀 Development/ 的条件。 使用主账号登录 RAM 控制台。 创建策略 AllowListBucketsIfSpecificPrefixIsIncluded,授予 RAM 用户 Anne 权限以列出 Development 文件夹内容。 在左侧导航窗格中,单击 策略管理,然后单击 新建授权策略。 单击 空白模板。 在 授权策略名称字段中,输入 AllowListBucketsIfSpecificPrefixIsIncluded。 在 策略内容 字段中,复制并粘贴以下策略。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringLike": { "oss:Prefix": [ "Development/*" ] } } } ] } 将策略分配给 RAM 用户 Anne。 有关分配策略的详细过程,请参见 RAM 快速入门中的将策略分配给 RAM 用户 测试 Anne 的权限。 打开 RAM 用户登录链接,并用 Anne 的账号登录到 RAM 控制台。 打开 OSS 控制台,控制台列出所有存储空间。 单击 example-company 存储空间,然后单击 文件选项卡,控制台列出所有根级别项。 单击 Development/ 文件夹。控制台列出文件夹中的对象。 步骤 5.2 授予 RAM 用户 Anne 在 Development 文件夹中获取和放入对象的权限。 若要 Anne 能够在 Development 文件夹中获取和放入对象,您必须授予她调用 oss:GetObject 和 oss:PutObject 操作的权限,包括用户必须在请求中指定前缀 Development/ 的条件。 使用主账号登录   RAM 控制台。 用以下策略取代您在之前步骤中创建的策略 AllowListBucketsIfSpecificPrefixIsIncluded。 有关详细过程,请参见 RAM 用户指南中授权策略的修改自定义授权策略部分。注意,您最多可对 RAM 策略进行五次修改。如果超过了五次,则需要删除该策略并创建一个新的策略,然后再次将新策略分配给 Staff 组。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringLike": { "oss:Prefix": [ "Development/*" ] } } }, { "Effect": "Allow", "Action": [ "oss:GetObject", "oss:PutObject", "oss:GetObjectAcl" ], "Resource": [ "acs:oss:*:*:example-company/Development/*" ], "Condition": {} } ] } 说明  当用户登录到 OSS 控制台时,控制台检查用户的身份是否有访问 OSS 服务的权限。要在控制台中支持存储空间操作,我们还需要添加 oss:GetObjectAcl 操作。 测试更新的策略。 打开 RAM 用户登录链接,并用 Anne 的账号登录到 RAM 控制台。 打开 OSS 控制台。 控制台列出所有存储空间。 在 OSS 控制台中,确认 Anne 现在可以在 Development 文件夹中添加对象并下载对象。 步骤 5.3 显式拒绝 RAM 用户 Anne 访问存储空间中任何其他文件夹的权限 RAM 用户 Anne 现在可以在 example-company 存储空间中列出根级内容,并将对象放入 Development 文件夹中。如果要严格限制访问权限,您可以显式拒绝 Anne 对存储空间中任何其他文件夹的访问。如果有授予 Anne 访问存储空间中任何其他文件夹的其他策略,则此显式策略将替代这些权限。 您可以将以下语句添加到 RAM 用户 Anne 的策略   AllowListBucketsIfSpecificPrefixIsIncluded,以要求 Anne 发送到 OSS 的所有请求包含前缀参数,该参数的值可以是 Development/* 或空字符串。 { "Effect": "Deny", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringNotLike": { "oss:Prefix": [ "Development/*", "" ] } } } 按照之前的步骤更新您为 RAM 用户 Anne 创建的策略   AllowListBucketsIfSpecificPrefixIsIncluded。复制并粘贴以下策略以替换现有策略。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringLike": { "oss:Prefix": [ "Development/*" ] } } }, { "Effect": "Allow", "Action": [ "oss:GetObject", "oss:PutObject", "oss:GetObjectAcl" ], "Resource": [ "acs:oss:*:*:example-company/Development/*" ], "Condition": {} }, { "Effect": "Deny", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringNotLike": { "oss:Prefix": [ "Development/*", "" ] } } } ] } 步骤 6:授予 RAM 用户 Leo 特定权限 现在,您希望授予 Leo 访问 Marketing 文件夹的权限。请遵循之前用于向 Anne 授予权限的步骤,但应将 Development 文件夹替换为 Marketing 文件夹。有关详细过程,请参见步骤 5:授予 RAM 用户 Anne 特定权限。 步骤 7:确保 Private 文件夹安全 在本例中,您仅拥有两个用户。您在组级别授予两个用户所有所需的最小权限,只有当您真正需要单个用户级别上的权限时,才授予用户级别权限。此方法有助于最大限度地减少管理权限的工作量。随着用户数量的增加,我们希望确保不意外地授予用户对 Private 文件夹的权限。因此,我们需要添加一个显式拒绝访问 Private 文件夹的策略。显式拒绝策略会取代任何其他权限。若要确保 Private 文件夹保持私有,可以向组策略添加以下两个拒绝语句: 添加以下语句以显式拒绝对 Private 文件夹 (example-company/Private/*) 中的资源执行任何操作。 { "Effect": "Deny", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:example-company/Private/*" ], "Condition": {} } 您还要在请求指定了 Private/ prefix 时拒绝执行 ListObjects 操作的权限。在控制台中,如果 Anne 或 Leo 单击 Private 文件夹,则此策略将导致 OSS 返回错误响应。 { "Effect": "Deny", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": { "StringLike": { "oss:Prefix": [ "Private/" ] } } } 用包含前述拒绝语句的更新策略取代 Staff 组策略AllowGroupToSeeBucketListInConsole。在应用更新策略后,组中的任何用户都不能访问您的存储空间中的 Private 文件夹。 使用主账号登录 RAM 控制台。 用以下策略取代分配给 Staff 组的现有策略 AllowGroupToSeeBucketListInConsole。请用您的存储空间名替换策略资源中的 example-company。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets", "oss:GetBucketAcl" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:example-company" ], "Condition": { "StringLike": { "oss:Prefix": [ "" ], "oss:Delimiter": [ "/" ] } } }, { "Effect": "Deny", "Action": [ "oss:*" ], "Resource": [ "acs:oss:*:*:example-company/Private/*" ], "Condition": {} }, { "Effect": "Deny", "Action": [ "oss:ListObjects" ], "Resource": [ "acs:oss:*:*:*" ], "Condition": { "StringLike": { "oss:Prefix": [ "Private/" ] } } } ] } 清理 要进行清理,您需要在 RAM 控制台中删除用户 Anne 和 Leo。 有关详细过程,请参见 RAM 用户指南中用户的删除RAM用户部分。 为了确保您不再因存储而继续被收取费用,您还需要删除为本示例创建的对象和存储空间。

51干警网 2019-12-02 00:38:21 0 浏览量 回答数 0

回答

自动快照功能细节 用户可以自行设置自动快照策略: 系统盘/数据盘均可创建自动快照每天有24个整点可以作为快照的创建时间点选择,每周7天重复日期可选保存时间用户可以自行指定(1-65536天),或者选择永久保留可查询自动快照策略关联的磁盘数及具体情况。 自动快照的命名:auto2.0_yyyyMMdd_1,比如auto2.0_20140418_1 用户可以自行管理自动快照(删除,创建自定义镜像,创建磁盘等) 用户的快照额度已升级为每块磁盘64个快照,用户原有的快照仍旧保留并占用新快照的额度。 自动快照 FAQ 用户的自定义快照和自动快照有冲突吗? 使用上没有冲突,与用户快照是同样的,不过当正在对某一块磁盘执行自动快照时,用户需要等待自动快照完成后,才能创建自定义快照。 我能保留其中想要的自动快照而让系统不删除吗? 可以选择永久保留,但当某块磁盘的快照额度已满(达到64个),系统会自动删除创建时间最早的自动快照。 如果一个自动快照被引用(用户创建自定义镜像或者磁盘),会导致自动快照策略执行失败吗? 不会。 我如果什么都没有设置,自动快照会启动吗? 当前快照功能已经升级成2.0版本,提供了更丰富的快照策略选择,用户需要自行设定自动快照策略,并关联相关磁盘,自动快照方可正常执行。 自动快照能够删除吗? 您可以自行删除自动快照,或者在某块磁盘的快照额度已满(达到64个),系统会自动删除创建时间最早的自动快照。 自动快照具体在什么时间创建能看到吗? 可以在ECS控制台快照列表界面中能看到每个快照的具体创建时间。 我如何区分哪些快照是自动快照和用户快照? 通过名字来区分自动快照: auto2.0_yyyyMMdd_1,比如 auto2.0_20140418_1 更换系统盘、服务器到期后或手动释放磁盘时,自动快照会不会释放? 自动快照释放行为,可以在 ECS控制台>全部磁盘 中找到对应磁盘,选择 修改磁盘属性 进行设置,默认选择 自动快照随磁盘释放,选择后,当磁盘手动释放、磁盘随实例释放或更换系统盘时,该磁盘的自动快照会被自动删除。如果想保留快照,您可以手动去掉该选项。 未随磁盘释放和更换系统盘释放的自动快照会一直保留吗? 未随磁盘释放和更换系统盘释放的自动快照一样遵循自动快照策略的保存时长,到期会自动释放。 服务器到期后或手动释放磁盘时,手工快照会不会释放? 不会,手动创建快照如用户不主动删除,会一直被保留。 我能单独制定某几块磁盘执行或取消自动快照吗? 可以,直接在“全部磁盘”中对单块磁盘进行“设置自动快照策略”。 云服务器有没有自动备份? ECS 控制台提供了自动快照备份和用户自定义快照备份,方便您进行快照数据备份和回滚操作。

元芳啊 2019-12-01 23:22:06 0 浏览量 回答数 0

问题

设置安全组

恶魔的喵 2019-12-01 22:05:44 2374 浏览量 回答数 3

问题

ApsaraDB for Redis 默认的数据逐出策略是什么?

云栖大讲堂 2019-12-01 21:21:20 891 浏览量 回答数 0

问题

【精品问答】访问控制RAM

问问小秘 2020-04-24 17:50:13 6 浏览量 回答数 1

问题

RAM子用户访问是什么?

轩墨 2019-12-01 22:01:14 1964 浏览量 回答数 2

问题

访问控制,允许子账号管理指定的一台ECS授权策略问题

hellozjx 2019-12-01 19:26:20 3813 浏览量 回答数 8

问题

RAM鉴权 是什么?

猫饭先生 2019-12-01 22:04:47 873 浏览量 回答数 0

问题

什么是Memcache 管理控制台

云栖大讲堂 2019-12-01 21:30:32 1136 浏览量 回答数 0

回答

Re控制台里的续费管理菜单跑哪里去了 我也是找半天找不到,真是晕死了。阿里云的产品经理也是可以的。 楼上的贴图不对,楼主的意思不是指继续续费的提示,而是原来的续费管理,可以设置哪些服务自动续费,按什么策略进行续费的那个菜单。

17snk 2019-12-01 23:46:31 0 浏览量 回答数 0

回答

详细解答可以参考官方帮助文档 什么是RAM? RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。通过RAM,您可以集中管理您的用户(比如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限。 RAM要解决的问题 如果您购买了云资源,您的组织里有多个用户需要使用这些云资源,这些用户只能共享使用您的云账号密钥。这里有两个问题:(1) 您的密钥由多人共享,泄露的风险很高;(2) 您无法控制特定用户能访问哪些资源的权限。 RAM解决问题的方法 RAM允许您在您的云账户下创建多个RAM用户,并给这些用户分配资源操作权限。RAM用户不允许拥有资源,没有独立的计量计费,这些用户由您的云账户统一控制和付费。您可以给每个RAM用户创建单独的登录密码或访问密钥,但在默认条件下,这些用户并没有任何操作权限。RAM提供基于访问策略的授权机制,支持您实现对RAM用户的细粒度授权。 RAM功能 RAM包括下列功能: 集中控制RAM用户及其密钥 —— 您可以管理每个用户及其访问密钥,为用户绑定/解绑多因素认证设备 集中控制RAM用户的访问权限 —— 您可以控制每个用户可以访问您名下哪些资源的操作权限 集中控制RAM用户的资源访问方式 —— 您可以确保用户必须使用安全信道(如SSL)、在指定时间、以及在指定的网络环境下请求访问特定的云服务 集中控制云资源 —— 您可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时,这些实例或数据不会丢失 统一账单 —— 您的账户将收到包括所有用户的资源操作所发生的费用的单一账单 RAM访问点 RAM的默认访问点地址是: https://ram.aliyuncs.com ,用户必须使用https接入访问点。 支持RAM的云产品 几乎所有的阿里云产品都会与RAM集成。目前支持哪些服务与RAM集成的信息,请参阅 支持 RAM 的云服务。 RAM服务费用 RAM服务是您的阿里云账户的一个功能,无需额外付费。您只需为您的RAM用户所使用的其它服务付费。

2019-12-01 23:11:14 0 浏览量 回答数 0

回答

优点 它不像 XMLHttpRequest 对象实现的 Ajax 请求那样受到同源策略的限制,JSONP 可以跨越同源策略; 它的兼容性更好,在更加古老的浏览器中都可以运行,不需要 XMLHttpRequest 或 ActiveX 的支持 在请求完毕后可以通过调用 callback 的方式回传结果。将回调方法的权限给了调用方。这个就相当于将 controller 层和 view 层终于分 开了。我提供的 jsonp 服务只提供纯服务的数据,至于提供服务以 后的页面渲染和后续 view 操作都由调用者来自己定义就好了。如果有两个页面需要渲染同一份数据,你们只需要有不同的渲染逻辑就可以了,逻辑都可以使用同 一个 jsonp 服务。 缺点 它只支持 GET 请求而不支持 POST 等其它类型的 HTTP 请求 它只支持跨域 HTTP 请求这种情况,不能解决不同域的两个页面之间如何进行JavaScript 调用的问题。 jsonp 在调用失败的时候不会返回各种 HTTP 状态码。 缺点是安全性。万一假如提供 jsonp 的服务存在页面注入漏洞,即它返回的 javascript 的内容被人控制的。那么结果是什么?所有调用这个 jsonp 的网站都会存在漏洞。于是无法把危险控制在一个域名下…所以在使用 jsonp 的时候必须要保证使用的 jsonp 服务必须是安全可信的

茶什i 2019-12-02 03:19:56 0 浏览量 回答数 0

问题

阿里云ECS控制台自动快照功能上线

qilu 2019-12-01 22:01:06 28085 浏览量 回答数 25

问题

快照设置在什么地方?【急】

李笨疯 2019-12-01 20:56:44 1609 浏览量 回答数 2

问题

自动快照功能细节有哪些?

boxti 2019-12-01 21:49:33 1437 浏览量 回答数 0

问题

访问控制RAM简介

反向一觉 2019-12-01 21:27:14 2042 浏览量 回答数 0

问题

API 网关服务有什么术语?

轩墨 2019-12-01 21:07:25 1242 浏览量 回答数 0

问题

E-MapReduceOSS 数据权限隔离是什么?

nicenelly 2019-12-01 21:17:29 1264 浏览量 回答数 0

问题

为什么SSH 登录时出现如下错误:User root not allowed because not listed in

boxti 2019-12-01 22:00:11 1859 浏览量 回答数 0

问题

邮件推送有什么优势?

轩墨 2019-12-01 21:04:14 1312 浏览量 回答数 0

回答

你好,其实你的这个问题的答案要从web服务器上找原因,现在的服务器一般有线程池策略和io多路复用策略以保证每个请求开启一个线程,每个请求的处理实例化bean相互不会影响。######shrio session和web session有什么区别?是shrio 拦截掉了tomcat的session?###### 呃呃呃,这个要靠使用者 去指定是否单例的   一般来说使用单例的bean都是无状态bean所以不存在你说的修改问题。 ######不会影响才怪。你在service层类里面定义一个变量,然后多个浏览器访问去改变它的值,你看会不会影响。业务层的bean是单例的,用户之间共享。但控制层的bean是多例的,所以在action里面定义的变量不用担心这个问题。######有可能是你的处理事件很短没有模拟到同时引用修改的情况######这个要看你这个bean是不是线程安全的吧,如果是线程安全的,一般来说是不可能相互影响的,如果不是线程安全,特殊情况下还是会出现相互前者影响后者的情况的。######很多组件使用了TheadLocal,他储存的数据是线程独立的

kun坤 2020-05-29 23:16:50 0 浏览量 回答数 0

问题

E-MapReduce组件快捷入口是什么?

nicenelly 2019-12-01 21:20:59 904 浏览量 回答数 0

问题

为什么SSH 登录时出现如下错误:Maximum amount of failed attempts was reached

boxti 2019-12-01 21:59:27 1705 浏览量 回答数 0

回答

借助访问控制 RAM 的 RAM 用户,您可以实现权限分割的目的,按需为子账号赋予不同权限,并避免因暴露阿里云账号(主账号)密钥造成的安全风险。 背景信息 出于安全考虑,您可以为阿里云账号(主账号)创建 RAM 用户(子账号),并根据需要为这些子账号赋予不同的权限,这样就能在不暴露主账号密钥的情况下,实现让子账号各司其职的目的。在本文中,假设企业 A 希望让部分员工处理日常运维工作,则企业 A 可以创建 RAM 用户,并为 RAM 用户赋予相应权限,此后员工即可使用这些 RAM 用户登录控制台或调用 API 。 Web+提供的系统权限策略包括: WebPlusFullAccess:Web+的完整权限。 WebPlusReadOnlyAccess:Web+的只读权限。 前提条件 开通Web+服务 开通访问控制RAM 步骤一:创建 RAM 用户 首先需要使用阿里云账号(主账号)登录 RAM 控制台并创建 RAM 用户。 登录 RAM 控制台,在左侧导航栏中选择人员管理 > 用户,并在用户页面上单击新建用户。 在新建用户页面的用户账号信息区域中,输入登录名称和显示名称。 说明 登录名称中允许使用英文字母、数字、“.”、“_”和“-”,长度不超过 128 个字符。显示名称不可超过 24 个字符或汉字。 (可选)如需一次创建多个用户,则单击添加用户,并重复上一步。 在访问方式区域,选中控制台密码登录或编程访问,并单击确定。 说明 为提高安全性,请仅选中一种访问方式。 如果选中控制台密码登录,则完成进一步设置,包括自动生成默认密码或自定义登录密码、登录时是否要求重置密码,以及是否开启 MFA(多因素认证)。 如果选中编程访问,则 RAM 会自动为 RAM 用户创建 AccessKey(API 访问密钥)。 注意 出于安全考虑,RAM 控制台只在创建 AccessKey 时提供一次查看或下载 AccessKeySecret 的机会,因此请务必将 AccessKeySecret 记录到安全的地方。 在手机验证对话框中单击获取验证码,并输入收到的手机验证码,然后单击确定。 创建的 RAM 用户显示在用户页面上。 步骤二:为 RAM 用户添加权限 在使用 RAM 用户之前,需要为其添加相应权限。 在 RAM 控制台左侧导航栏中选择人员管理 > 用户。 在用户页面上找到需要授权的用户,单击操作列中的添加权限。 在添加权限面板的选择权限区域中,通过关键字搜索需要添加的权限策略,并单击权限策略将其添加至右侧的已选择列表中,然后单击确定。 说明 可添加的权限参见背景信息部分。 在添加权限的授权结果页面上,查看授权信息摘要,并单击完成。 后续步骤 使用阿里云账号(主账号)创建好 RAM 用户后,即可将 RAM 用户的登录名称及密码或者 AccessKey 信息分发给其他用户。其他用户可以按照以下步骤使用 RAM 用户登录控制台或调用 API。 登录控制台 在浏览器中打开 RAM 用户登录入口 https://signin.aliyun.com/login.htm。 在 RAM 用户登录页面上,输入 RAM 用户登录名称,单击下一步,并输入 RAM 用户密码,然后单击登录。 说明 RAM 用户登录名称的格式为 <子用户名称>@<默认域名>,或<子用户名称>@<企业别名>,例如 username@company-alias.onaliyun.com 或 username@company-alias。 在子用户用户中心页面上单击有权限的产品,即可访问控制台。 使用 RAM 用户的 AccessKey 调用 API 在代码中使用 RAM 用户的 AccessKeyId 和 AccessKeySecret 即可。 更多信息 什么是访问控制 基本概念 RAM 用户登录控制台

1934890530796658 2020-03-23 15:15:49 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 阿里云双十一主会场 阿里云双十一新人会场 1024程序员加油包 阿里云双十一拼团会场 场景化解决方案 阿里云双十一直播大厅