以OBS的自定義策略為例，說明策略的語法。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                "obs:bucket:ListAllMyBuckets", 
                "obs:bucket:HeadBucket", 
                "obs:bucket:ListBucket", 
                "obs:bucket:GetBucketLocation" 
            ], 
            "Condition": { 
                "StringEndWithIfExists": { 
                    "g:UserName": [ 
                        "specialCharactor" 
                    ] 
                }, 
                "Bool": { 
                    "g:MFAPresent": [ 
                        "true" 
                    ] 
                } 
            }, 
            "Resource": [ 
                "obs:*:*:bucket:*" 
            ] 
        } 
    ] 
}

策略結構

策略結構包括Version（策略版本號）和Statement（策略權限語句）兩部分，其中Statement可以有多個，表示不同的授權項。

圖 策略結構

策略參數

策略參數包含Version和Statement兩部分，下面介紹策略參數詳細說明。了解策略參數后，您可以根據場景自定義策略。

表 策略參數說明

參數
含義
值
Version
策略的版本。
1.0：代表基于角色的訪問控制。
1.1：代表基于策略的訪問控制。
Statement：
策略的授權語句
Effect：作用
定義Action中的操作權限是否允許執行。
Allow：允許執行。
Deny：不允許執行。
說明
當同一個Action的Effect既有Allow又有Deny時，遵循Deny優先的原則。
Action：授權項
操作權限。
格式為“服務名:資源類型:操作”。授權項支持通配符號*，通配符號*表示所有。
示例：
"obs:bucket:ListAllMybuckets"：表示查看OBS桶列表權限，其中obs為服務名，bucket為資源類型，ListAllMybuckets為操作。
您可以在對應服務的API接口資料中查看該服務所有授權項。
Condition：條件
使策略生效的特定條件，包括條件鍵和運算符。
格式為“條件運算符:{條件鍵：[條件值1,條件值2]}”。
如果您設置多個條件，同時滿足所有條件時，該策略才生效。
示例:
"StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示當用戶輸入的用戶名以"specialCharactor"結尾時該條statement生效。
Resource: 資源類型
策略所作用的資源。
格式為“服務名:region:domainId:資源類型:資源路徑”, 資源類型支持通配符號*，通配符號表示所有。
示例：
"obs:::bucket:": 表示所有的OBS桶。
"obs:::object:my-bucket/my-object/*": 表示my-bucket桶my-object目錄下的所有對象。

• 條件鍵條件鍵表示策略語句的Condition 元素中的鍵值。根據適用范圍，分為全局條件鍵和服務條件鍵。

  • 全局級條件鍵（前綴為g:）適用于所有操作，IAM提供 通用全局條件鍵 。
    • 通用全局條件鍵：在鑒權過程中，云服務不需要提供用戶身份信息，IAM將自動獲取并鑒權。詳情請參見表-通用全局條件鍵
  • 服務級條件鍵（前綴為服務縮寫，如obs:）僅適用于對應服務的操作，詳情請參見對應云服務的用戶指南。

表 通用全局條件鍵

• 運算符

運算符與條件鍵、條件值一起構成完整的條件判斷語句，當請求信息滿足該條件時，策略才能生效，詳情請參見下表。運算符可以增加后綴“IfExists”，表示對應請求值為空或滿足條件的請求值均使策略生效，如“StringEqualsIfExists”表示請求值為空或請求值等于條件值均使策略生效。

表 運算符（字符串型運算符，如未增加說明，不區分大小寫。）