统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等,更多信息,请参见“第2步:创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略 :预置的系统策略,您只能使用不能修改。云主机备份CSBS相关的系统策略包含如下:
CSBS Admin:云主机备份服务的管理者权限,包含云主机备份所有控制权限(不含订单类权限);
CSBS Viewer:云主机备份服务的观察者权限,包含云主机备份服务的列表页与详情页面权限;
自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见“第2步:创建自定义策略”。
云主机备份接口对应权限表
如下是云主机备份服务相关权限三元组及生效范围:
| 控制台接口 | 权限三元组 | 配置支持 | |
| IAM(资源池/全局) | 企业项目(资源组) | ||
| 创建存储库 | csbs:memorypool:create | √ | √ |
| csbs:backupstrategy:list | √ | √ | |
| ecs:cloudServers:list | √ | √ | |
| 创建备份 | csbs:backup:create | √ | √ |
| csbs:backupstrategy:list | √ | √ | |
| ecs:cloudServers:list | √ | √ | |
| 续订 | csbs:memorypool:create | √ | √ |
| 扩容存储库 | csbs:memorypool:update | √ | √ |
| 退订存储库 | csbs:memorypool:delete | √ | √ |
| 查看存储库列表 | csbs:memorypool:list | √ | √ |
| 查看存储库详情 | csbs:memorypool:get | √ | √ |
| csbs:backup:list | √ | √ | |
| csbs:backupstrategy:list | √ | √ | |
| 更改备份策略(编辑) | csbs:backupstrategy:update | √ | √ |
| 解绑备份策略 | csbs:backupstrategy:detach | √ | √ |
| 绑定备份策略 | csbs:memorypool:list | √ | √ |
| csbs:backupstrategy:list | √ | √ | |
| csbs:backupstrategy:update | √ | √ | |
| 恢复数据 | csbs:backup:datarecovery | √ | √ |
| ecs:cloudServers:get | √ | √ | |
| evs:volumes:list | √ | √ | |
| vpc:publicIps:list | √ | √ | |
| vpc:publicIps:get | √ | √ | |
| vpc:securityGroups:list | √ | √ | |
| vpc:securityGroups:get | √ | √ | |
| 删除(批量、单)备份副本 | csbs:backup:delete | √ | √ |
| 查看备份副本列表 | csbs:backup:list | √ | √ |
| 查看备份副本详情 | csbs:backup:get | √ | √ |
| csbs:memorypool:list | √ | √ | |
| csbs:backupstrategy:list | √ | √ | |
| 创建备份策略 | csbs:backupstrategy:create | √ | √ |
| 绑定云主机 | csbs:backupstrategy:update | √ | √ |
| csbs:backupstrategy:list | √ | √ | |
| ecs:cloudServers:list | √ | √ | |
| 解绑云主机 | csbs:backupstrategy:detach | √ | √ |
| 编辑 | csbs:backupstrategy:update | √ | √ |
| 启用(策略) | csbs:backupstrategy:start | √ | √ |
| 停用(策略) | csbs:backupstrategy:stop | √ | √ |
| 立即备份 | csbs:backupstrategy:list | √ | √ |
| csbs:memorypool:list | √ | √ | |
| ecs:cloudServers:list | √ | √ | |
| csbs:backup:create | √ | √ | |
| 删除(批量、单)备份策略 | csbs:backupstrategy:delete | √ | √ |
| 查看备份策略列表 | csbs:backupstrategy:list | √ | √ |
| 查看备份策略详情 | csbs:backupstrategy:get | √ | √ |
| csbs:memorypool:list | √ | √ | |
| csbs:backup:list | √ | √ | |
| 申请云主机 | csbs:cloudServers:create | √ | √ |
| evs:volumes:create | √ | √ | |
| vpc:publicIps:get | √ | √ | |
| vpc:publicIps:list | √ | √ | |
| vpc:publicIps:create | √ | √ | |
| vpc:publicIps:update | √ | √ | |
| vpc:securityGroups:list | √ | √ | |
| vpc:securityGroups:get | √ | √ | |
| vpc:subnets:get | √ | √ | |
| vpc:subnets:list | √ | √ | |
| vpc:vpcs:list | √ | √ | |
| ims:serverImages:get | √ | √ | |
| ims:serverImages:list | √ | √ | |
| ecs:cloudServers:create | √ | √ | |
| 查看任务详情 | csbs:job:list | √ | √ |
| 任务列表取消任务 | csbs:job:stop | √ | √ |
| 任务列表重新执行任务 | csbs:job:create | √ | √ |
| 存储库删除 | csbs:memorypool:delete | √ | √ |
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
