Bucket&RAM Policy

OSS支持面向资源的授权方式，允许在Bucket级别而不是用户级别设置权限策略。

使用Bucket Policy可以授权当前云账号或者其他阿里云账号下单个或多个RAM用户、RAM角色等访问Bucket内的指定资源。Bucket Policy除提供策略语法的授权方式以外，还提供了图形化界面的授权方式，快速完成授权。

## 场景

Bucket Policy通常应用于以下场景的授权访问：

- 需要进行跨账号或对指定用户授权访问或管理整个Bucket或Bucket内的部分资源。
- 需要对同账号下的不同RAM用户授予访问或管理Bucket资源的不同权限，例如只读、读写或完全控制的权限。

详细情况：https://help.aliyun.com/zh/oss/use-bucket-policy-to-grant-permission-to-access-oss/

## 通过RAM Policy授权访问OSS

RAM Policy 是一种基于用户的授权策略，可用于控制用户对当前资源的访问权限。

### 权限策略语法和结构

> 前提条件

权限策略字符如下：

```txt
权限策略中所包含的JSON字符：{ } [ ] " , :。

描述语法使用的特殊字符：= < > ( ) |。
```

字符使用规则如下：

```txt
当一个元素允许多值时，可以使用下述两种方式表达，效果相同。
    使用半角逗号（,）和省略号（...）进行表达。例如：[ <action_string>, <action_string>, ...]。
    使用单值进行表达。例如："Action": [<action_string>] 和 "Action": <action_string>。

元素带有半角问号（?）表示此元素是一个可选元素。例如：<condition_block?>。

多值之间用竖线（|）隔开，表示取值只能选取这些值中的某一个。例如：("Allow" | "Deny")。

使用双引号（""）的元素，表示此元素是文本串。例如：<version_block> = "Version" : ("1")。
```

> 权限策略结构

RAM Policy包含版本号（Version）和授权语句（Statement），每条授权语句又包含授权效力（Effect）、操作（Action）、资源（Resource）以及限制条件（Condition，可选项）。

权限策略结构包括：

- 版本号。
- 授权语句列表。每条授权语句包括授权效果（Effect）、操作（Action/NotAction）、资源（Resource）以及条件（Condition，可选项）。

![image-20251012141635803](https://oss.maolin101.com/image-20251012141635803.png-101.webp)

OSS常用的权限策略

- AliyunOSSFullAccess：为RAM用户授予OSS的完全管理权限。
- AliyunOSSReadOnlyAccess：为RAM用户授予OSS的只读访问权限。

> 权限策略语法

```json
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "oss:PutObject",
      "Resource": "acs:oss:*:*:maolintest/*"
    }
  ]
}
```

### OSS Action分类

Action分为Service级别操作、Bucket级别操作以及Object级别的操作。

详细情况请查询官方文档：https://help.aliyun.com/zh/oss/ram-policy-overview/#section-x3c-nsm-2gb

### OSS Resource

在OSS中，Resource指代某个具体资源或者某些资源，支持通配符星号（*）。单个RAM Policy允许包含多个Resource。

详细文档：https://help.aliyun.com/zh/oss/ram-policy-overview/#section-an0-sb1-5sh

### OSS Condition

OSS Condition用于指定授权生效的限制条件，由条件操作类型、条件关键字和条件值组成。

详细文档：https://help.aliyun.com/zh/oss/ram-policy-overview/#section-zhg-wsm-2gb