统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等,更多信息,请参见“自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略 :预置的系统策略,您只能使用不能修改。虚拟私有云相关的系统策略包含如下:
vpc admin:虚拟私有云服务的管理者权限,包含虚拟私有云服务所有控制权限(不含订单类权限);
vpc viewer: 虚拟私有云服务的观察者权限,包含虚拟私有云服务的列表页与详情页面权限;
自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见“自定义策略“。
虚拟私有云接口对应权限表
如下是虚拟私有云服务控制台相关权限三元组及生效范围:
控制台接口 权限三元组 配置支持 IAM(资源池/全局) 企业项目(资源组) VPC VPC 创建VPC vpc vpcs create √ √ vpc subnets create √ √ vpc vpcs list √ √ VPC列表获取 vpc vpcs list √ √ VPC详情获取 vpc vpcs get √ √ 查看拓扑图 vpc vpcs getTopology √ √ 删除 vpc vpcs delete √ √ 修改 vpc vpcs update √ √ 子网 创建子网 创建子网 vpc subnets create √ √ VPC列表获取 vpc vpcs list √ √ 子网列表 子网列表获取 vpc subnets list √ √ 子网详情 子网详情获取 vpc subnets get √ √ 云主机列表获取 ecs cloudServers list √ √ 云主机详情获取 ecs cloudServers get √ √ 物理机列表获取 dps physicalserver list √ √ 虚拟IP列表获取 vpc vips list √ √ ACL列表获取 vpc firewallPolicies list √ √ ACL详情获取 vpc firewallPolicies get √ √ 路由列表获取 vpc route list √ √ 路由详情获取 vpc route get √ √ 修改子网 vpc subnets update √ √ 删除子网 vpc subnets delete √ √ 弹性网卡 创建弹性网卡 创建弹性网卡 vpc cloudServerNics create √ √ 子网列表获取 vpc subnets list √ √ 安全组列表获取 vpc securityGroups list √ √ VPC列表获取 vpc vpcs list √ √ 弹性网卡列表获取 vpc cloudServerNics list √ √ 弹性网卡详情获取 vpc cloudServerNics get √ √ 绑定云主机 ecs cloudServerNics binding √ √ 解绑云主机 ecs cloudServerNics unbinding √ √ 绑定弹性裸金属 dps physicalServer binding √ √ 解绑弹性裸金属 dps physicalServer unbinding √ √ 修改弹性网卡 vpc cloudServerNics change √ √ 删除弹性网卡 vpc cloudServerNics delete √ √ 路由表 创建路由表 vpc route create √ √ 路由表列表获取 vpc route list √ √ 路由表详情 路由表详情获取 vpc route get √ √ 创建路由规则 vpc routeRules create √ √ 路由规则列表 vpc routeRules list √ √ 修改规则 vpc routeRules change √ √ 删除规则 vpc routeRules delete √ √ 更换路由表 vpc route binding √ √ 修改路由表 vpc route modify √ √ 删除路由表 vpc route delete √ √ 关联子网 vpc route binding √ √ 关联网关 vpc route binding √ √ 解关联网关 vpc route unbinding √ √ 安全组 创建安全组 vpc securityGroups create √ √ vpc vpcs list √ √ 安全组列表获取 vpc securityGroups list √ √ 安全组详情获取 vpc securityGroups get √ √ vpc securityGroupRules list √ √ 修改安全组名称及描述 vpc securityGroups update √ √ 添加弹性服务器 vpc cloudServerNics change √ √ 移除弹性服务器 vpc cloudServerNics change √ √ 添加辅助网卡 vpc cloudServerNics change √ √ 移除辅助网卡 vpc cloudServerNics change √ √ 删除安全组 vpc securityGroups delete √ √ 克隆安全组 vpc securityGroups copy √ √ vpc securityGroups create √ √ 安全组规则列表 安全组规则列表 vpc securityGroupRules list √ √ 添加/快速添加安全组规则 vpc securityGroupRules create √ × 修改安全组规则 vpc securityGroupRules update √ × 复制安全组规则 vpc securityGroupRules create √ × 删除安全组规则 vpc securityGroupRules delete √ × IPv4网关 查询IPv4网关列表 vpc ipv4Gateways list √ √ 查询IPv4网关详情 vpc ipv4Gateways get √ √ 修改IPv4网关名称描述 vpc ipv4Gateways update √ √ 绑定路由表 vpc route binding √ √ 解绑路由表 vpc route unbinding √ √ IPv6网关 创建IPv6网关
vpc ipv6Gateways create √ √ 删除IPv6网关
vpc ipv6Gateways delete √ √ 查询IPv6网关详情 vpc ipv6Gateways get √ √ 查询IPv6网关列表
vpc ipv6Gateways list √ √ IPv6网关操作 修改IPv6网关名称 vpc ipv6Gateways update √ √ 绑定IPv6带宽 vpc ipv6Bandwidths addipv6 √ √ 解绑IPv6带宽 vpc ipv6Bandwidths removeipv6 √ √ ACL 创建网络ACL vpc firewallPolicies create √ √ vpc vpcs list √ √ ACL列表获取 vpc firewallPolicies list √ √ ACL详情获取 vpc firewallPolicies get √ × 停用ACL vpc firewallPolicies stop √ √ 启用ACL vpc firewallPolicies start √ √ 删除ACL vpc firewallPolicies delete √ √ ACL关联子网 vpc firewallPolicies attach √ √ ACL取消关联 vpc firewallPolicies detach √ √ ACL规则列表 ACL规则列表 vpc firewallRules list √ √ 添加ACL规则 vpc firewallRules create √ √ 修改/配置/停用ACL规则/调整优先级 vpc firewallRules update √ √ 删除ACL规则 vpc firewallRules delete √ √
VPC 虚拟IP 创建虚拟IP vpc vips create √ √ 查询虚拟IP列表 vpc vips list √ √ 查询虚拟IP详情 vpc vips get √ √ 修改虚拟IP名称描述 vpc vips update √ √ 绑定服务器 vpc vips binding √ √ 解绑服务器 vpc vips unbinding √ √ 绑定弹性IP vpc vips binding √ √ 解绑弹性IP vpc vips unbinding √ √ 删除虚拟IP vpc vips delete √ √ dhcp选项集 创建dhcp选项集 vpc dhcpOption create √ √ 查询dhcp选项集列表 vpc dhcpOption list √ √ 查询dhcp选项集详情 vpc dhcpOption list √ √ 修改dhcp选项集配置 vpc dhcpOption update √ √ 关联VPC vpc dhcpOption binding √ √ 解关联VPC vpc dhcpOption unbinding √ √ 删除dhcp选项集 vpc dhcpOption delete √ √ 前缀列表 创建前缀列表 vpc prefixList create √ √ 查询前缀列表 vpc prefixList list √ √ 查询前缀列表详情 vpc prefixList get √ √ 修改前缀列表 vpc prefixList update √ √ 克隆前缀列表 vpc prefixList clone √ √ 删除前缀列表 vpc prefixList delete √ √ 二层连接网关 创建二层连接网关 vpc l2gw create √ √ 查询二层连接网关列表 vpc l2gw list √ √ 查询二层连接网关详情 vpc l2gw list √ √ 修改二层连接网关 vpc l2gw update √ √ 删除二层连接网关 vpc l2gw delete √ √ 二层连接网关续订 vpc l2gw create √ √ 二层连接网关退订 vpc l2gw delete √ √ 创建二层连接 vpc l2gwConnection create √ √ 修改二层连接 vpc l2gwConnection update √ √ 删除二层连接 vpc l2gwConnection delete √ √ 组播 创建组播域 vpc multicast create √ √ 查询组播域列表 vpc multicast list √ √ 组播转发展示 vpc multicast get √ √ 修改组播域 vpc multicast update √ √ 删除组播域 vpc multicast delete √ √ 路径分析 创建路径分析 vpc pathAnalyzer create √ × 查询路径分析列表 vpc pathAnalyzer list √ × 查询路径分析详情 vpc pathAnalyzer get √ × 发起路由分析 vpc pathAnalyzer update √ × 删除历史分析 vpc pathAnalyzerHistory delete √ × 删除路径分析 vpc pathAnalyzer delete √ ×
以下是虚拟私有云服务openapi接口相关权限三元组及生效范围:
子产品 openapi描述 openapi url 权限三元组 配置支持IAM(资源池/全局) 配置支持企业项目(资源组) VPC 创建vpc /v4/vpc/create vpc:vpcs:create √ × 删除VPC /v4/vpc/delete vpc:vpcs:delete √ × 新查询VPC列表 /v4/vpc/new-list vpc:vpcs:list √ × 查询用户vpc信息 /v4/vpc/query vpc:vpcs:get √ × 查询用户vpc列表 /v4/vpc/list vpc:vpcs:list √ × vpc绑定ipv6网段 /v4/vpc/associate-ipv6-cidrs vpc:vpcs:update √ × vpc解绑ipv6网段 /v4/vpc/disassociate-ipv6-cidrs vpc:vpcs:update √ × 查看ipv6cidr /v4/ipv6/list-cidrs vpc:vpcs:get √ × VPC绑定扩展网段 /v4/vpc/associate-secondary-cidrs vpc:vpcs:update √ × VPC解绑扩展网段 /v4/vpc/disassociate-secondary-cidrs vpc:vpcs:update √ × 修改VPC属性 /v4/vpc/update vpc:vpcs:update √ × 修改VPC的IPv6状态 /v4/vpc/update-ipv6-status vpc:vpcs:update √ × 子网 修改子网属性 /v4/vpc/update-subnet vpc:subnets:update √ × 创建子网 /v4/vpc/create-subnet vpc:subnets:create √ × 新查询子网列表 /v4/vpc/new-list-subnet vpc:subnets:list √ × 查询用户子网列表 /v4/vpc/list-subnet vpc:subnets:list √ × 删除子网 /v4/vpc/delete-subnet vpc:subnets:delete √ × 查询用户子网信息 /v4/vpc/query-subnet vpc:subnets:get √ × 子网开启IPv6 /v4/vpc/subnet-enable-ipv6 vpc:subnets:update √ × 修改子网的IPv6状态 /v4/vpc/update-subnet-ipv6-status vpc:subnets:update √ × 子网更换ACL /v4/vpc/replace-subnet-acl vpc:firewallPolicies:replace √ × 子网更换路由表 /v4/vpc/replace-subnet-route-table vpc:route:binding √ × 子网解绑ACL /v4/vpc/disassociate-subnet-acl vpc:firewallPolicies:detach √ × 查看子网已使用IP /v4/vpc/list-used-ips vpc:subnets:get √ × 路由表 修改单条路由规则 /v4/vpc/route-table/modify-rule vpc:routeRules:change √ × 修改路由表属性 /v4/vpc/route-table/modify vpc:route:modify √ × 创建单条路由规则 /v4/vpc/route-table/create-rule vpc:routeRules:create √ × 创建网关路由 /v4/vpc/route-table/create-gateway-routetable vpc:route:create √ × 创建路由表 /v4/vpc/route-table/create vpc:route:create √ × 删除单条路由规则 /v4/vpc/route-table/delete-rule vpc:routeRules:delete √ × 删除路由表 /v4/vpc/route-table/delete vpc:route:delete √ × 新查询路由表列表 /v4/vpc/route-table/new-list vpc:route:list √ × 新查询路由表规则列表 /v4/vpc/route-table/new-list-rules vpc:routeRules:list √ × 查询路由表列表 /v4/vpc/route-table/list vpc:route:list √ × 查询路由表规则列表 /v4/vpc/route-table/list-rules vpc:routeRules:list √ × 查询路由表详情 /v4/vpc/route-table/show vpc:route:get √ × 批量创建路由表规则 /v4/vpc/route-table/create-rules vpc:routeRules:create √ × 批量修改路由表规则 /v4/vpc/route-table/modify-rules vpc:routeRules:change √ × 批量删除路由表规则 /v4/vpc/route-table/delete-rules vpc:routeRules:delete √ × IPv4网关 IPv4网关解绑网关路由表 /v4/vpc/ipv4-gw/remove-route-table-binding vpc:route:unbinding √ × 获取IPv4网关列表 /v4/vpc/ipv4-gw/list vpc:ipv4Gateways:list √ × IPv4网关绑定网关路由表 /v4/vpc/ipv4-gw/add-route-table-binding vpc:route:binding √ × 查看IPv4网关详情 /v4/vpc/ipv4-gw/show vpc:ipv4Gateways:get √ × IPv6网关 新查询IPv6列表 /v4/ipv6/new-ipv6-list vpc:ipv6Address:list √ × 查询ipv6网关详情 /v4/vpc/get-ipv6-gateway-attribute vpc:ipv6Gateways:get √ × 查询ipv6网关列表 /v4/vpc/list-ipv6-gateway vpc:ipv6Gateways:list √ × 删除ipv6网关 /v4/vpc/delete-ipv6-gateway vpc:ipv6Gateways:delete √ × 创建ipv6网关 /v4/vpc/create-ipv6-gateway vpc:ipv6Gateways:create √ × 查询IPv6详情 /v4/ipv6/ipv6-show vpc:ipv6Address:get √ × 查询IPv6列表 /v4/ipv6/ipv6-list vpc:ipv6Address:list √ × 弹性网卡 更换子网 /v4/ports/change-private-ip vpc:cloudServerNics:change √ × 修改网卡属性 /v4/ports/update vpc:cloudServerNics:change √ × 创建弹性网卡 /v4/ports/create vpc:cloudServerNics:create √ × 删除弹性网卡 /v4/ports/delete vpc:cloudServerNics:delete √ × 单个网卡关联多个IPv6地址 /v4/ports/assign-ipv6 vpc:cloudServerNics:change √ × 单个网卡解绑多个IPv6地址 /v4/ports/unassign-ipv6 vpc:cloudServerNics:change √ × 多个网卡关联IPv6地址 /v4/ports/batch-assign-ipv6 vpc:cloudServerNics:change √ × 多个网卡解绑IPv6地址 /v4/ports/batch-unassign-ipv6 vpc:cloudServerNics:change √ × 新查询网卡列表 /v4/ports/new-list vpc:cloudServerNics:list √ × 更换VPC /v4/ports/change-vpc vpc:cloudServerNics:change √ × 查询网卡信息 /v4/ports/show vpc:cloudServerNics:get √ × 检查网卡的状态 /v4/ports/check-status vpc:cloudServerNics:get √ × 批量检查网卡的状态 /v4/ports/check-status-batch vpc:cloudServerNics:get √ × 网卡关联辅助私网IPs /v4/ports/assign-secondary-private-ips vpc:cloudServerNics:change √ × 网卡绑定实例(云主机) /v4/ports/attach ecs:cloudServerNics:binding √ × 网卡解绑实例(云主机) /v4/ports/detach ecs:cloudServerNics:unbinding √ × 网卡解绑辅助私网IPs /v4/ports/unassign-secondary-private-ips vpc:cloudServerNics:change √ × 查询网卡列表 /v4/ports/list vpc:cloudServerNics:list √ × 网卡绑定物理机(弹性裸金属) /v4/ports/async-attach-bm dps:physicalServer:binding √ × 网卡解绑物理机(弹性裸金属) /v4/ports/async-detach-bm dps:physicalServer:unbinding √ × 虚拟IP 创建虚拟IP /v4/vpc/havip/create vpc:vips:create √ × 删除虚拟IP /v4/vpc/havip/delete vpc:vips:delete √ × 查看虚拟IP列表 /v4/vpc/havip/list vpc:vips:list √ × 绑定虚拟IP /v4/vpc/havip/bind vpc:vips:binding √ × 查看虚拟IP /v4/vpc/havip/show vpc:vips:get √ × 解绑虚拟IP /v4/vpc/havip/unbind vpc:vips:unbinding √ × dhcp选项集 vpc替换dhcp选项集 /v4/dhcpoptionsets/dhcp_replace_vpc vpc:dhcpOption:replace √ × dhcp选项集取消关联vpc /v4/dhcpoptionsets/dhcp_disassociate_vpc vpc:dhcpOption:unbinding √ × dhcp选项集关联vpc /v4/dhcpoptionsets/dhcp_associate_vpc vpc:dhcpOption:binding √ × 获取未绑定dhcp的vpc列表 /v4/dhcpoptionsets/dhcp_list_unbind_vpc vpc:dhcpOption:list √ × 查询dhcp选项集 /v4/dhcpoptionsets/query vpc:dhcpOption:list √ × 创建dhcp选项集 /v4/dhcpoptionsets/create vpc:dhcpOption:create √ × 获取绑定的vpc列表 /v4/dhcpoptionsets/dhcp_list_vpc vpc:dhcpOption:list √ × 更新dhcp选项集 /v4/dhcpoptionsets/update vpc:dhcpOption:update √ × 删除dhcp选项集 /v4/dhcpoptionsets/delete vpc:dhcpOption:delete √ × 查询dhcp选项集详情 /v4/dhcpoptionsets/show vpc:dhcpOption:get √ × 前缀列表 修改前缀列表属性 /v4/prefixlist/update vpc:prefixList:update √ × 删除前缀列表 /v4/prefixlist/delete vpc:prefixList:delete √ × 克隆前缀列表 /v4/prefixlist/clone vpc:prefixList:clone √ × 查询前缀列表 /v4/prefixlist/query vpc:prefixList:list √ × 修改前缀列表规则 /v4/prefixlist_rule/update vpc:prefixList:update √ × 删除前缀列表规则 /v4/prefixlist_rule/delete vpc:prefixList:delete √ × 创建前缀列表 /v4/prefixlist/create vpc:prefixList:create √ × 创建前缀列表规则 /v4/prefixlist_rule/create vpc:prefixList:create √ × 查询前缀列表详情 /v4/prefixlist/show vpc:prefixList:get √ × 查询前缀列表关联资源 /v4/prefixlist/get_associations vpc:prefixList:get √ × 安全组 修改安全组入方向规则 /v4/vpc/modify-security-group-ingress vpc:securityGroupRules:update √ × 修改安全组出方向规则 /v4/vpc/modify-security-group-egress vpc:securityGroupRules:update √ × 更新安全组 /v4/vpc/modify-security-group-attribute vpc:securityGroups:update √ × 创建安全组出方向规则 /v4/vpc/create-security-group-egress vpc:securityGroupRules:create √ × 创建安全组入方向规则 /v4/vpc/create-security-group-ingress vpc:securityGroupRules:create √ × 删除安全组入方向规则 /v4/vpc/revoke-security-group-ingress vpc:securityGroupRules:delete √ × 删除安全组出方向规则 /v4/vpc/revoke-security-group-egress vpc:securityGroupRules:delete √ × 安全组批量绑定网卡 /v4/vpc/batch-attach-security-group-ports vpc:cloudServerNics:change √ × 安全组批量解绑网卡 /v4/vpc/batch-detach-security-group-ports vpc:cloudServerNics:change √ × 安全组支持批量绑定 /v4/vpc/batch-join-security-group vpc:cloudServerNics:change √ × 新查询用户安全组列表 /v4/vpc/new-query-security-groups vpc:securityGroups:list √ × 查询用户安全组详情 /v4/vpc/describe-security-group-attribute vpc:securityGroups:get √ × 绑定安全组 /v4/vpc/join-security-group vpc:cloudServerNics:change √ × 获取安全组绑定机器列表 /v4/vpc/get-sg-associate-vms vpc:securityGroups:get √ × 解绑安全组 /v4/vpc/leave-security-group vpc:cloudServerNics:change √ × 创建安全组 /v4/vpc/create-security-group vpc:securityGroups:create √ × 删除安全组 /v4/vpc/delete-security-group vpc:securityGroupRules:delete √ × 获取安全组规则详情 /v4/vpc/describe-security-group-rule vpc:securityGroupRules:get √ × 安全组规则检查 /v4/vpc/pre-check-sg-rule vpc:securityGroupRules:check √ × 查询用户安全组列表 /v4/vpc/query-security-groups vpc:securityGroups:list √ × 获取安全组规则列表 /v4/vpc/describe-security-group-rules vpc:securityGroupRules:list √ × ACL 查看Acl规则列表 /v4/acl-rule/list vpc:firewallRules:list √ × 查看Acl列表信息 /v4/acl/list vpc:firewallPolicies:list √ × 查看Acl的详细信息 /v4/acl/query vpc:firewallPolicies:get √ × 修改Acl属性 /v4/acl/update vpc:firewallPolicies:update √ × 修改Acl规则列表属性 /v4/acl-rule/update vpc:firewallRules:set √ × 创建Acl /v4/acl/create vpc:firewallPolicies:create √ × 创建Acl规则列表 /v4/acl-rule/create vpc:firewallRules:add √ × 删除Acl /v4/acl/delete vpc:firewallPolicies:delete √ × 删除Acl规则列表 /v4/acl-rule/delete vpc:firewallRules:delete √ × 新acl列表 /v4/acl/new-list vpc:firewallPolicies:list √ × 克隆acl规则 /v4/acl/clone vpc:firewallRules:create √ × 二层连接网关 创建二层连接网关 /v4/l2gw/create vpc:l2gw:create √ × 删除二层连接网关 /v4/l2gw/delete vpc:l2gw:delete √ × 更新二层连接网关 /v4/l2gw/update vpc:l2gw:update √ × 查询二层连接网关列表 /v4/l2gw/query vpc:l2gw:list √ × 创建二层连接 /v4/l2gw_connection/create vpc:l2gwConnection:create √ × 删除二层连接 /v4/l2gw_connection/delete vpc:l2gwConnection:delete √ × 更新二层连接 /v4/l2gw_connection/update vpc:l2gwConnection:update √ × 查询二层连接列表 /v4/l2gw_connection/query vpc:l2gwConnection:list √ × 查询云专线或VPN网关 /v4/l2gw/gw_query vpc:l2gw:get √ × 校验tunnel /v4/l2gw_connection/tunnel_check vpc:l2gw:check √ × 二层连接网关续订询价 /v4/l2gw/query-renew-price vpc:l2gw:create √ × 二层连接网关订购询价 /v4/l2gw/query-create-price vpc:l2gw:create √ × 二层连接网关续订 /v4/l2gw/renew vpc:l2gw:create √ × 对等连接 同意建立对等连接 /v4/vpc/vpcpeer/agree-request vpc:peering:create √ × 拒绝建立对等连接 /v4/vpc/vpcpeer/reject-request vpc:peering:create √ × 查询对等连接详情 /v4/vpc/get-vpc-peer-connection-attribute vpc:peering:get √ × 查询对等连接列表 /v4/vpc/list-vpc-peer-connection vpc:peering:list √ × 修改对等连接属性 /v4/vpc/modify-vpc-peer-connection vpc:peering:update √ × 删除对等连接 /v4/vpc/delete-vpc-peer-connection vpc:peering:delete √ × 创建对等连接 /v4/vpc/create-vpc-peer-connection vpc:peering:create √ × 获取待处理的对等连接请求 /v4/vpc/vpcpeer/requests vpc:peeringConnectRequest:list √ × 对等链接绑定标签 /v4/vpc/vpcpeer/bind-label vpc:peering:update √ × 对等链接解绑标签 /v4/vpc/vpcpeer/unbind-label vpc:peering:update √ × 获取对等链接绑定的标签 /v4/vpc/vpcpeer/list-labels vpc:peering:get √ × 创建对等链接路由 /v4/vpc/vpcpeer/create-route vpc:routeRules:create √ × 删除对等链接路由 /v4/vpc/vpcpeer/delete-route vpc:routeRules:delete √ × 获取对等链接路由 /v4/vpc/vpcpeer/query-route vpc:routeRules:list √ × 筛选条件 创建入方向过滤规则 /v4/mirrorflow/create-filter-in-rule vpc:mirrorFilterRules:create √ × 创建出方向过滤规则 /v4/mirrorflow/create-filter-out-rule vpc:mirrorFilterRules:create √ × 创建过滤条件 /v4/mirrorflow/create-filter vpc:mirrorFilter:create √ × 删除过滤条件 /v4/mirrorflow/delete-filter vpc:mirrorFilter:delete √ × 删除过滤规则 /v4/mirrorflow/delete-filter-rule vpc:mirrorFilterRules:delete √ × 更新过滤规则 /v4/mirrorflow/update-filter-rule vpc:mirrorFilterRules:update √ × 更新过滤条件 /v4/mirrorflow/update-filter vpc:mirrorFilter:update √ × 查看过滤条件列表 /v4/mirrorflow/list-filter vpc:mirrorFilter:list √ × 查看过滤规则列表 /v4/mirrorflow/list-filter-rule vpc:mirrorFilterRules:list √ × 查看过滤条件详情 /v4/mirrorflow/show-filter vpc:mirrorFilter:get √ × 调整过滤规则优先级 /v4/mirrorflow/change-filter-rule-priority vpc:mirrorFilterRules:update √ × 镜像会话 创建流量会话 /v4/flowsession/create vpc:trafficMirror:create √ × 删除流量会话 /v4/flowsession/delete vpc:trafficMirror:delete √ × 启动流量会话 /v4/flowsession/start vpc:trafficMirror:start √ × 暂停流量会话 /v4/flowsession/stop vpc:trafficMirror:stop √ × 更新流量会话 /v4/flowsession/update vpc:trafficMirror:update √ × 查看流量会话列表 /v4/flowsession/list vpc:trafficMirror:list √ × 查看流量会话详情 /v4/flowsession/show vpc:trafficMirror:get √ × 购买流量会话 /v4/flowsession/buy vpc:trafficMirror:create √ × 退订流量会话 /v4/flowsession/refund vpc:trafficMirror:delete √ × 添加流量会话源 /v4/flowsession/add-source vpc:trafficMirror:increase √ × 移除流量会话源 /v4/flowsession/remove-source vpc:trafficMirror:decrease √ × 修改流量会话目的 /v4/flowsession/update-target vpc:trafficMirror:change √ × 流日志 修改vpc流日志 /v4/log/modify-vpc-accesslog vpc:flowlogs:update √ × 删除vpc流日志 /v4/log/delete-vpc-accesslog vpc:flowlogs:delete √ × 查询vpc流日志 /v4/log/list-vpc-accesslog vpc:flowlogs:list √ × 创建vpc流日志 /v4/log/add-vpc-accesslog vpc:flowlogs:create √ × 路径分析 创建网络路径 /v4/vnia/create-network-path vpc:pathAnalyzer:create √ × 创建网络路径分析 /v4/vnia/create-network-path-analysis vpc:pathAnalyzer:run √ × 删除网络路径分析 /v4/vnia/delete-network-path-analysis vpc:pathAnalyzer:delete √ × 获取网络路径分析列表 /v4/vnia/list-network-path-analysis vpc:pathAnalyzer:get √ × 获取网络路径分析详情 /v4/vnia/show-network-path-analysis vpc:pathAnalyzer:get √ × 删除网络路径 /v4/vnia/delete-network-path vpc:pathAnalyzer:delete √ × 获取网络路径列表 /v4/vnia/list-network-path vpc:pathAnalyzer:list √ × 获取网络路径详情 /v4/vnia/show-network-path vpc:pathAnalyzer:get √ × 删除网络路径分析报告 /v4/vnia/delete-network-path-report vpc:pathAnalyzerHistory:delete √ × 获取网络路径分析报告列表 /v4/vnia/list-network-path-report vpc:pathAnalyzer:get √ × 获取网络路径分析报告详情 /v4/vnia/show-network-path-report vpc:pathAnalyzer:get √ ×
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
通过IAM用户控制资源访问
在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个IAM用户并为其授予不同的权限,实现不同IAM子用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对虚拟私有云资源的访问。
操作步骤
创建IAM子用户
具体操作,请参见“创建子用户/子用户分组”。
创建自定义策略
天翼云提供了访问虚拟私有云资源的系统策略,更多信息,请参见“管理权限”。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见“自定义策略“。
策略分为用户可以自行定义的自定义策略,以及预定义在平台录入的系统策略两类。
细粒度授权策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。
策略版本号:Version,标识策略结构的版本号。目前为1.1.
策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。
作用(Effect)包含两种:允许(Allow)和拒绝(Deny)。
授权项(Action)是对资源的具体操作权限,支持单个或多个操作权限。
a) 脚本配置策略示例一:为IAM子用户配置虚拟私有云查看者权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vpc:*:list",
"vpc:*:get",
"vpc:*:get*",
"vpc:*:check",
"elb:*:list",
"elb:*:get",
"dps:*:list",
"dps:*:get",
"ctlts:inst:listProject",
"ctlts:inst:listUnit",
"ecs:*:get",
"ecs:*:list"
],
"Effect": "Allow"
}
]
}
b) 脚本配置策略示例二:为IAM子用户配置虚拟私有云所有操作权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vpc:*:*",
"ecs:*:get",
"elb:*:list",
"elb:*:get",
"dps:*:list",
"dps:*:get",
"ctlts:inst:listProject",
"ctlts:inst:listUnit",
"ecs:*:list"
],
"Effect": "Allow"
}
]
}
授权自定义策略
授予IAM用户访问所创建的自定义策略范围中的资源,具体操作,请参见“自定义策略”。
授权系统策略
您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。
