统一身份认证IAM介绍
更新时间 2025-11-28 16:24:23
最近更新时间: 2025-11-28 16:24:23
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等,更多信息,请参见“通过IAM用户控制资源访问-创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略
预置的系统策略,您只能使用不能修改。云服务器ECS相关的系统策略包含如下:
Ecs Admin:弹性云主机服务的管理者权限,包含弹性云主机所有控制权限(不含订单类权限);
Ecs Viewer:弹性云主机服务的观察者权限,包含弹性云主机服务的列表页与详情页面权限;
自定义策略
您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见“创建自定义策略”。
弹性云主机接口对应权限表
如下是弹性云主机服务相关权限三元组及生效范围:
| 控制台接口 | 权限三元组 | 配置支持 | ||
|---|---|---|---|---|
| IAM(资源池/全局) | 企业项目(资源组) | |||
| 创建云主机 | ecs:cloudServers:create | √ | √ | |
| 创建相同配置 | ecs:cloudServers:create | √ | √ | |
| 克隆云主机 | ecs:cloudServers:create | √ | √ | |
| 恢复包周期退订云主机 | ecs:cloudServers:create | √ | √ | |
| 云主机列表获取 | ecs:cloudServers:list | √ | √ | |
| 搜索 | ecs:cloudServers:list | √ | √ | |
| 刷新 | ecs:cloudServers:list | √ | √ | |
| 导出全部实例 | ecs:cloudServers:list | √ | √ | |
| 导出所选实例 | ecs:cloudServers:list | √ | √ | |
| 云主机详情获取 | ecs:cloudServers:get | √ | √ | |
| 修改云主机名称 | ecs:cloudServers:put | √ | √ | |
| 修改实例名称 | ecs:cloudServers:put | √ | √ | |
| 修改云主机描述 | ecs:cloudServers:put | √ | √ | |
| 编辑云主机属性 | ecs:cloudServers:put | √ | √ | |
| 开机 | ecs:cloudServers:start | √ | √ | |
| 关机 | ecs:cloudServers:stop | √ | √ | |
| 重启 | ecs:cloudServers:reboot | √ | √ | |
| 续订 | ecs:cloudServers:create | √ | √ | |
| 退订(包周期) | ecs:cloudServers:delete | √ | √ | |
| 删除(按需付费) | ecs:cloudServers:delete | √ | √ | |
| 立即释放 | ecs:cloudServers:delete | √ | √ | |
| 重置密码 | ecs:cloudServers:resetServerPwd | √ | √ | |
| 一键重装 | ecs:cloudServers:rebuild | √ | √ | |
| 全部重启 | ecs:cloudServers:reboot | √ | √ | |
| VNC远程登录 | ecs:cloudServers:rlogin | √ | √ | |
| TeleCloudShell登录 | ecs:cloudServers:rlogin | √ | √ | |
| 开启实例删除保护 | ecs:delProtect:update | √ | √ | |
| 关闭实例删除保护 | ecs:delProtect:update | √ | √ | |
| 创建快照 | ecs:snapshot:create | √ | √ | |
| 制作镜像 | ims:serverImages:create | √ | √ | |
| 变配 | ecs:cloudServers:update | √ | √ | |
| 到期转按需 | ecs:switchRequired:create | √ | √ | |
| 转包周期 | ecs:switchPeriod:create | √ | √ | |
| 云主机详情页 | 云主机详情获取 | ecs:cloudServers:get | √ | √ |
| 设置委托策略 | ecs:delegationPolicy:change | √ | √ | |
| 弹性网卡列表获取 | vpc:cloudServerNics:list | √ | ||
| 弹性网卡详情获取 | vpc:cloudServerNics:get | √ | ||
| 绑定弹性网卡 | ecs:cloudServerNics:binding | √ | ||
| 解绑弹性网卡 | ecs:cloudServerNics:unbinding | √ | ||
| 修改内网IP | ecs:publicIps:change | √ | ||
| vpc:cloudServerNics:change | √ | |||
| vpc:subnets:list | √ | |||
| 更换VPC(绑定) | ecs:vpcs:change | √ | ||
| vpc:cloudServerNics:change | √ | |||
| vpc:subnets:list | √ | |||
| vpc:securityGroups:list | √ | |||
| vpc:vpcs:list | √ | |||
| 管理辅助私网ip | vpc:cloudServerNics:change | √ | ||
| 云硬盘列表获取 | evs:volumes:list | √ | √ | |
| 云硬盘详情获取 | evs:volumes:get | √ | √ | |
| 卸载磁盘 | evs:volumes:detach | √ | √ | |
| 挂载磁盘 | evs:volumes:attach | √ | √ | |
| 释放设置(云硬盘) | evs:volumes:release | √ | √ | |
| 安全组列表获取 | vpc:securityGroups:list | √ | √ | |
| 安全组详情获取 | vpc:securityGroups:get | √ | √ | |
| 更改安全组 | vpc:cloudServerNics:change | √ | √ | |
| 弹性IP列表获取 | vpc:publicIps:list | √ | √ | |
| 弹性IP详情获取 | vpc:publicIps:get | √ | √ | |
| 绑定弹性IP | vpc:publicIps:update | √ | √ | |
| 解绑弹性IP | vpc:publicIps:detach | √ | √ | |
| 挂载文件系统 | ecs:filesSystem:mount | √ | √ | |
| 卸载文件系统 | ecs:filesSystem:unmount | √ | √ | |
| 一键安装监控Agent | ecs:MonitorAgent:install | √ | √ | |
| 查看云主机监控 | cm:monitor:query | √ | √ | |
| 云主机组 | 创建云主机组 | ecs:ServersGroups:create | √ | |
| 修改云主机组名称 | ecs:ServersGroups:update | √ | ||
| 云主机组列表获取 | ecs:ServersGroups:list | √ | ||
| 云主机组详情获取 | ecs:ServersGroups:get | √ | ||
| 添加云主机 | ecs:ServersGroups:attach | √ | ||
| 移除云主机 | ecs:ServersGroups:detach | √ | ||
| 云主机列表获取 | ecs:cloudServers:list | √ | ||
| 删除云主机组 | ecs:ServersGroups:delete | √ | ||
| 快照 | 创建快照 | ecs:snapshot:create | √ | √ |
| 云主机列表获取 | ecs:cloudServers:list | √ | √ | |
| 快照列表获取 | ecs:snapshot:list | √ | √ | |
| 快照详情获取 | ecs:snapshot:get | √ | √ | |
| 删除快照 | ecs:snapshot:delete | √ | √ | |
| 恢复数据 | ecs:snapshot:rollback | √ | √ | |
| 申请云主机 | ecs:cloudServers:create | √ | √ | |
| 删除快照 | ecs:snapshot:delete | √ | √ | |
| 创建快照策略 | ecs:snapshotpolicy:create | √ | ||
| 快照策略列表 | ecs:snapshotpolicy:list | √ | ||
| 快照策略详情 | ecs:snapshotpolicy:get | √ | ||
| 修改快照策略 | ecs:snapshotpolicy:update | √ | ||
| 停用快照策略 | ecs:snapshotpolicy:stop | √ | ||
| 删除快照策略 | ecs:snapshotpolicy:delete | √ | ||
| 启用策略/立即执行快照策略 | ecs:snapshotpolicy:start | √ | ||
| SSH密钥对 | 创建密钥对 | ecs:serverKeypairs:create | √ | √ |
| 导入密钥对 | ecs:serverKeypairs:create | √ | √ | |
| 密钥对列表获取 | ecs:serverKeypairs:list | √ | √ | |
| 绑定/更换密钥对 | ecs:serverKeypairs:set | √ | √ | |
| 解绑密钥对 | ecs:serverKeypairs:unset | √ | √ | |
| 删除密钥对 | ecs:serverKeypairs:delete | √ | √ | |
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
