如果您需要对云服务平台上的云监控服务资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制云服务资源的访问。
通过IAM,您可以在账号中给员工创建IAM用户,并使用策略来控制他们对云服务资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有云监控服务的使用权限,但是不希望他们拥有删除其他云服务资源等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用云监控服务,但是不允许删除其他云服务资源的权限策略,控制他们对其他云服务资源的使用范围。
如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用云监控服务的其它功能。
IAM是云服务平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《统一身份认证服务》。
云监控服务权限
默认情况下,新建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
云监控服务部署时通过物理区域划分,为项目级服务,需要在各区域对应的项目中设置策略,并且该策略仅对此项目生效,如果需要所有区域都生效,则需要在所有项目都设置策略。访问云监控服务时,需要先切换至授权区域。
权限根据授权精细程度分为角色和策略。
角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对云监控服务,管理员能够控制IAM用户仅能对某一类云监控资源进行指定的管理操作。
如下表所示,包括了云监控服务的所有系统权限。
表 云监控服务系统权限
| 系统角色/策略名称 | 描述 | 类别 | 依赖关系 |
| CES FullAccessPolicy | 云监控服务的全部权限,拥有该权限可以操作云监控服务的全部权限。 | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考:统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知:依赖SMN服务的SMN FullAccess。 配置数据转储:依赖OBS服务的OBS OperateAccess。 |
| CES ReadOnlyAccessPolicy | 云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用 |
| CES AgentAccess | CES Agent正常运行所需的必要权限。 | 系统策略 | 无。 |
| CES Administrator | 云监控服务的管理员权限。 | 系统角色 | 依赖Tenant Guest策略。 Tenant Guest:全局级策略,在全局项目中勾选。 |
| CES FullAccess | 云监控服务的全部权限,拥有该权限可以操作云监控服务的全部权限。 说明 CES FullAccess不满足权限最小化原则,后续不推荐使用,建议使用CES FullAccessPolicy | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 告警通知:依赖SMN服务的SMN FullAccess。 配置数据转储:依赖OBS服务的OBS OperateAccess。 |
| CES ReadOnlyAccess | 云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 说明 CES ReadOnlyAccess不满足权限最小化原则,后续不推荐使用,建议使用CES ReadOnlyAccessPolicy | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用统一身份认证帮助中心中“使用IAM授权的云服务”章节。 |
下表列出了云监控服务常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
表 常用操作与系统权限的关系
| 功能 | 操作 | CES FullAccessPolicy | CES ReadOnlyAccessPolicy | CES Administrator (需同时添加Tenant Guest策略) | Tenant Guest |
| 监控概览 | 查看监控概览 | √ | √ | √ | √ |
| 查看监控大屏 | √ | √ | √ | √ | |
| 监控大盘 | 创建监控大盘 | √ | × | √ | × |
| 查看监控大盘 | √ | √ | √ | √ | |
| 查看监控大屏 | √ | √ | √ | √ | |
| 添加监控视图 | √ | × | √ | × | |
| 查看监控视图 | √ | √ | √ | √ | |
| 修改监控视图 | √ | × | √ | × | |
| 删除监控视图 | √ | × | √ | × | |
| 调整监控视图位置 | √ | × | √ | × | |
| 删除监控大盘 | √ | × | √ | × | |
| 我的看板 | 创建我的看板 | √ | × | √ | × |
| 查看监控大屏 | √ | √ | √ | √ | |
| 查看我的看板 | √ | √ | √ | √ | |
| 删除我的看板 | √ | × | √ | × | |
| 添加监控视图 | √ | × | √ | × | |
| 查看监控视图 | √ | √ | √ | √ | |
| 修改监控视图 | √ | × | √ | × | |
| 删除监控视图 | √ | × | √ | × | |
| 调整监控视图位置 | √ | × | √ | × | |
| 资源分组 | 创建资源分组 | √ | × | √ | × |
| 查看资源分组列表 | √ | √ | √ | √ | |
| 查看资源分组(资源概览) | √ | √ | √ | √ | |
| 查看资源分组(告警规则) | √ | √ | √ | √ | |
| 修改资源分组 | √ | × | √ | × | |
| 删除资源分组 | √ | × | √ | × | |
| 告警规则 | 创建告警规则 | √ | × | √ | × |
| 修改告警规则 | √ | × | √ | × | |
| 启用告警规则 | √ | × | √ | × | |
| 停用告警规则 | √ | × | √ | × | |
| 删除告警规则 | √ | × | √ | × | |
| 导出告警规则 | √ | √ | √ | × | |
| 查看告警规则列表 | √ | √ | √ | √ | |
| 查看告警规则详情 | √ | √ | √ | √ | |
| 查看监控图表 | √ | √ | √ | √ | |
| 告警记录 | 查看告警记录 | √ | √ | √ | √ |
| 查看监控详情 | √ | √ | √ | √ | |
| 屏蔽告警 | √ | × | √ | × | |
| 手动恢复告警记录 | √ | × | √ | × | |
| 告警模板 | 查看默认告警模板 | √ | √ | √ | √ |
| 查看自定义告警模板 | √ | √ | √ | √ | |
| 创建自定义告警模板 | √ | × | √ | × | |
| 修改自定义告警模板 | √ | × | √ | × | |
| 删除自定义告警模板 | √ | × | √ | × | |
| 主机监控 | 查看主机列表 | √ | √ | √ | √ |
| 查看主机监控指标 | √ | √ | √ | √ | |
| 安装Agent | √(需同时拥有ECS FullAccess权限) | × | √(需同时拥有ECS FullAccess权限) | × | |
| 修复插件配置 | √(需同时拥有Security Administrator、ECS FullAccess权限) | × | √(需同时拥有Security Administrator、ECS FullAccess权限) | × | |
| 卸载Agent | √(需同时拥有ECS FullAccess权限) | × | √(需同时拥有ECS FullAccess权限) | × | |
| 配置进程监控 | √ | × | √ | × | |
| 配置自定义进程监控 | √ | × | √ | × | |
| 云服务监控 | 查看云服务列表 | √(涉及云服务需要支持细粒度授权特性,参考:《统一身份认证用户指南》中“使用IAM授权的云服务”章节) | √(涉及云服务需要支持细粒度授权特性,参考:《统一身份认证用户指南》中“使用IAM授权的云服务”章节) | √ | √ |
| 查看云服务监控指标 | √ | √ | √ | √ | |
| 自定义监控 | 添加自定义监控数据 | √ | × | √ | × |
| 查看自定义监控列表 | √ | √ | √ | √ | |
| 查看自定义监控数据 | √ | √ | √ | √ | |
| 事件监控 | 添加自定义事件 | √ | × | √ | × |
| 查看事件列表 | √ | √ | √ | √ | |
| 查看事件详情 | √ | √ | √ | √ | |
| 数据转储到DMS Kafka | 创建数据转储任务 | √ | × | √ | × |
| 查询数据转储任务列表 | √ | √ | √ | √ | |
| 查询指定数据转储任务 | √ | √ | √ | √ | |
| 修改数据转储任务 | √ | × | √ | × | |
| 启动数据转储任务 | √ | × | √ | × | |
| 停止数据转储任务 | √ | × | √ | × | |
| 删除数据转储任务 | √ | × | √ | × | |
| 其他 | 配置数据转储 | √(需同时拥有OBS Bucket Viewer权限) | × | √(需同时拥有Tenant Administrator权限) | × |
| 导出监控数据 | √ | √ | √ | × | |
| 发送告警通知 | √ | × | √ | × |
创建用户并授权使用云监控服务
如果您需要对您所拥有的云监控服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以:
根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用云监控服务。
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
将云监控服务的相关操作委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用云监控服务的其它功能。
前提条件
给用户组授权之前,请您了解用户组可以添加的云监控服务系统策略,并结合实际需求进行选择。
示例流程
图 给用户授权CES权限流程
创建用户组并授权,在IAM控制台创建用户组,并授予云监控服务权限“CES Administrator”、“Tenant Guest”和“Server Administrator”。
说明
云监控服务是区域级别的服务,通过物理区域划分,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。针对全局设置的权限不会生效。
以上权限为云监控服务的全部权限,如您期望更精细化的云监控服务功能的权限,请参见云监控权限管理介绍,对用户组授予对应权限。
在IAM控制台创建用户,并将其加入步骤1中创建的用户组。
用户登录并验证权限,新创建的用户登录云监控服务管理控制台,验证云监控服务的“CES Administrator”权限:使用相关功能过程中,如果没有出现用户鉴权失败的提示信息,表示用户授权成功。
自定义策略
如果系统预置的云监控服务权限,不满足您的授权要求,可以创建自定义策略。
目前云服务平台支持以下两种方式创建自定义策略:
可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见《统一身份认证服务》帮助中心的“创建自定义策略”章节。本章为您介绍常用的云监控服务自定义策略样例。
示例1:授权用户拥有云监控服务修改告警规则的权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ces:alarms:put"
],
"Effect": "Allow"
}
]
}示例2:拒绝用户删除告警规则。
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。
如果您给用户授予CES FullAccess的系统策略,但不希望用户拥有CES FullAccess中定义的删除告警规则权限,您可以创建一条拒绝删除告警规则的自定义策略,然后同时将CES FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对CES执行除了删除告警规则外的所有操作。拒绝策略示例如下:
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ces:alarms:delete"
],
"Effect": "Deny"
}
]
}示例3:授权用户拥有告警规则所有操作权限(告警规则的创建,修改,查询,删除)。
一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下:
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ces:alarms:put",
"ces:alarms:create",
"ces:alarms:list",
"ces:alarms:delete"
],
"Effect": "Allow"
}
]
}
