### **ABAC 基于屬性的訪問控制** > 規定哪些**屬性的主體**可以對哪些**屬性的資源**在哪些**屬性的情況**下進行哪些**操作**， `ABAC`是`Attribute-based access control`的縮寫, 稱為基于屬性的訪問控制. 權限和資源當時的狀態(屬性)有關, 屬性的值可以用于正向判斷(符合某種條件則通過), 也可以用于反向判斷(符合某種條件則拒絕): #### 典型應用 1. 論壇的評論權限, 當帖子是鎖定狀態時, 則不再允許繼續評論; 2. Github 私有倉庫不允許其他人訪問; 3. 發帖者可以編輯/刪除評論(如果是RBAC, 會為發帖者定義一個角色, 但是每個帖子都要新增一條用戶/發帖角色的記錄); 4. 微信聊天消息超過2分鐘則不再允許撤回; 5. 12306 只有實名認證后的賬號才能購票; 6. 已過期的付費賬號將不再允許使用付費功能; 場景：防火墻 適用資源：端口訪問 ABAC其中的屬性就是與主體、資源、情況相關的所有信息。 * 主體的屬性：指的是與主體相關的所有信息，包括主體的年齡、性別、職位等。 * 資源的屬性：指的是與資源相關的所有信息，包括資源的創建時間、創建位置、密級等。 * 情況的屬性：指的是客觀情況的屬性，比如當前的時間、當前的位置、當前的場景（普通狀態、緊急狀態）。 * 操作：含義還是一樣，比如增刪改查等。 設定一個權限，就是定義一條含有四類屬性信息的策略（Policy）。 ~~~ 策略表 效果：允許 操作：流入 主體：來自上海IP的客戶端 資源：所有以33開頭的端口（如3306） 情況：在北京時間 9:00~18:00 效果：禁止 操作：流出 主體：任何 資源：任何 情況：任何 ~~~ 一個請求會逐條匹配策略，如果沒有匹配到策略，則返回默認效果，默認效果可以根據場景定制，可以是默認拒絕或是默認允許。另外，匹配方式也可以根據場景定制，可以使用**逐條順序匹配**，匹配到策略直接返回。也可以使用**完全匹配**，匹配所有的策略，如果有一個拒絕（允許），則拒絕（允許）。 阿里云的RAM訪問控制運用的就是ABAC模型： ~~~ 阿里云RAM策略配置表 { "Version": "1", "Statement": [{ "Effect": "Allow", "Action": ["oss:List*", "oss:Get*"], "Resource": ["acs:oss:*:*:samplebucket", "acs:oss:*:*:samplebucket/*"], "Condition": { "IpAddress": { "acs:SourceIp": "42.160.1.0" } } }] } ~~~ 復制 ABAC可以發揮權限系統最大的靈活性，但在靈活的同時，如果不對策略加以管理，也有可維護性的問題。