IAM简介
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务,用户可申请开通后免费使用,您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明,请参见统一身份认证。
IAM涉及的主要概念
主用户 :用户在天翼云注册后自动创建,该用户对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,为了确保账号安全,建议创建子用户来进行日常管理工作。
子用户 :由拥有IAM权限的用户,在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台,登录入口与主用户相同,受赋予的权限限制。
用户组 :用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。
系统策略 :由产品团队维护,系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对 ECS 的只读权限、对 ECS 的管理员权限等;系统策略在IAM控制台中只能用于授权,不能编辑和修改。
自定义策略 :由用户自己在IAM控制台创建和管理的权限集,是用户可以自由定义的权限,是对系统策略的扩展和补充。
企业项目 :企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用企业项目内云资源的权限受用户组的授权限制。
云数据库ClickHouse系统策略
云数据库ClickHouse默认提供三种系统策略供用户选择,策略仅包括数据库管理控制台内的相关功能权限,涉及订单下单等非管理控制台的权限还需进行相应的权限配置。
三种默认策略分别是管理员策略(clickhouse admin),使用者策略(clickhouse user),浏览者策略(clickhouse viewer),三种策略的权限模型具体如下:
| 权限名称 | admin | user | viewer |
| 查询实例列表 | Y | Y | Y |
| 编辑可维护时间 | Y | Y | |
| 编辑重启时间 | Y | Y | |
| 修改实例名称 | Y | Y | |
| 创建并绑定标签 | Y | Y | |
| 绑定已有标签 | Y | Y | |
| 解绑标签 | Y | Y | |
| 删除标签 | Y | Y | |
| 查看实例详情 | Y | Y | Y |
| 获取节点状态 | Y | Y | Y |
| 重启所有节点 | Y | Y | |
| 按节点类型重启 | Y | Y | |
| 重启节点 | Y | Y | |
| 创建账号 | Y | ||
| 查询用户账号列表 | Y | Y | Y |
| 查询用户权限 | Y | Y | Y |
| 查询用户权限列表 | Y | Y | Y |
| 查询用户表 | Y | Y | Y |
| 更新用户权限 | Y | ||
| 重置用户密码 | Y | ||
| 删除用户账号 | Y | ||
| 解绑用户账号 | Y | ||
| 修改用户限制 | Y | Y | |
| 查询实例所有集群 | Y | Y | Y |
| 查询指定集群所有数据库 | Y | Y | Y |
| 执行SQL | Y | Y | |
| 查询指定集群和数据库下的所有表 | Y | Y | Y |
| 查询指定表的结构 | Y | Y | Y |
| 查询表分布 | Y | Y | Y |
| 查询正在执行的进程 | Y | Y | Y |
| Kill正在执行的线程 | Y | Y | |
| 慢查询 | Y | Y | Y |
| 查询监控指标 | Y | Y | Y |
| 查询用户配置 | Y | Y | Y |
| 查询配置修改历史 | Y | Y | Y |
| 通过ID查询配置 | Y | Y | Y |
| 更新配置 | Y | Y | |
| 查询数据库那能够升级的版本 | Y | Y | Y |
| 数据库版本升级 | Y | Y | |
| 查询所有elb | Y | Y | Y |
| 查询elb详情 | Y | Y | Y |
| 绑定elb | Y | Y | |
| 解绑elb | Y | Y |
如何自定义系统策略
登录天翼云官网,点击头像,并选择帐号中心,左侧边栏单击统一身份认证,进入IAM。
在左侧导航栏,选择策略管理,进入策略管理页面。
您可以在策略列表中查看系统默认策略和当前已创建的策略信息,包括策略名称、策略类型、作用范围等。
单击页面右上角的创建自定义策略。
按照界面提示,设置策略基本信息后,开始设置策略内容。选择您所需要的云服务:云数据库ClickHouse,然后在下方选择您想要定义的读操作和写操作
单击保存,即可创建成功。
