基本介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限,具体介绍说明详见:产品定义。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素左作用(Effect)、权限集(Action)等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
1、系统策略 :预置的系统策略,您只能使用不能修改。VPN连接相关的系统策略包含如下:
vpn admin:VPN连接服务的管理者权限,包含VPN连接产品的所有控制权限;
vpn viewer:VPN连接服务的观察者权限,包含VPN连接产品的列表页与详情页面权限;
2、自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,具体配置说明详见:创建自定义策略。
接口对应权限表
| 页面 | 控制台接口 | 权限三元组 | 配置支持 | |||
|---|---|---|---|---|---|---|
| IAM(资源池/全局) | ||||||
| VPN网关 | VPN网关列表 | 创建VPN网关 | vpn | vpnGw | create | ✓ |
| 查看VPN网关列表 | vpn | vpnGw | list | ✓ | ||
| 查看VPN网关详情 | vpn | vpnGw | get | ✓ | ||
| VPN网关子网变更 | vpn | vpnSubnets | modify | ✓ | ||
| 变配VPN网关IPsec功能 | vpn | vpnGwIpsec | modify | ✓ | ||
| 变配VPN网关SSL功能 | vpn | vpnGwSsl | modify | ✓ | ||
| 退订VPN网关 | vpn | vpnGwIpsec | delete | ✓ | ||
| 续订VPN网关IPsec功能 | vpn | vpnGwIpsec | renew | ✓ | ||
| 续订VPN网关ssl功能 | vpn | vpnGwSsl | renew | ✓ | ||
| VPN网关到期转按需 | vpn | vpnGwIpsec | ondemand | ✓ | ||
| VPN网关按需转包周期 | vpn | vpnGwIpsec | oncycle | ✓ | ||
VPN网关详情 | 添加策略路由 | vpn | vpnGwRoutPol | add | ✓ | |
发布策略路由 | vpn | vpnGwRoutPol | publish | ✓ | ||
撤回策略路由 | vpn | vpnGwRoutPol | withdraw | ✓ | ||
删除策略路由 | vpn | vpnGwRoutPol | delete | ✓ | ||
添加目的路由 | vpn | vpnGwRoutDst | add | ✓ | ||
| 发布目的路由 | vpn | vpnGwRoutDst | publish | ✓ | ||
| 撤回目的路由 | vpn | vpnGwRoutDst | withdraw | ✓ | ||
| 删除目的路由 | vpn | vpnGwRoutDst | delete | ✓ | ||
| IPsec VPN | 用户网关 | 查看用户网关列表 | vpn | ipsecUsrGw | list | ✓ |
| 创建用户网关 | vpn | ipsecUsrGw | create | ✓ | ||
| 修改用户网关 | vpn | ipsecUsrGw | modify | ✓ | ||
| 删除用户网关 | vpn | ipsecUsrGw | delete | ✓ | ||
| IPsec连接 | 查看IPsec连接列表 | vpn | ipsecCon | list | ✓ | |
| 创建IPsec连接 | vpn | ipsecCon | create | ✓ | ||
| 修改IPsec连接 | vpn | ipsecCon | modify | ✓ | ||
| 删除IPsec连接 | vpn | ipsecCon | delete | ✓ | ||
| 证书下载 | vpn | ipsecConCert | download | ✓ | ||
| 查看策略详情 | vpn | ipsecConCfg | download | ✓ | ||
| 下载对端配置 | vpn | ipsecConCfg | download | ✓ | ||
| 查看IPsec连接日志 | vpn | ipsecConLog | get | ✓ | ||
| 配置IPsec连接健康检查 | vpn | ipsecConhlth | modify | ✓ | ||
| 启用IPsec连接限速 | vpn | ipsecConQos | set | ✓ | ||
| 修改IPsec连接限速 | vpn | ipsecConQos | modify | ✓ | ||
| 删除IPsec连接限速 | vpn | ipsecConQos | delete | ✓ | ||
SSL VPN | SSL服务端 | 查看SSL服务端列表 | vpn | sslSvr | list | ✓ |
| 创建SSL服务端 | vpn | sslSvr | create | ✓ | ||
| 修改SSL服务端 | vpn | sslSvr | modify | ✓ | ||
| 删除SSL服务端 | vpn | sslSvr | delete | ✓ | ||
| SSL客户端 | 查看SSL客户端列表 | vpn | sslClt | list | ✓ | |
| 创建SSL客户端 | vpn | sslClt | create | ✓ | ||
| 删除SSL客户端 | vpn | sslClt | delete | ✓ | ||
| 断开SSL客户端 | vpn | sslClt | offline | ✓ | ||
| 配置SSL客户端限速 | vpn | sslCltQos | modify | ✓ | ||
| 管理SSL客户端密码 | vpn | sslCltPwd | modify | ✓ | ||
| 证书下载 | vpn | vpnCert | download | ✓ | ||
| 查看SSL客户端日志 | vpn | sslCltLog | get | ✓ | ||
| 证书管理 | 证书管理 | 查看VPN证书列表 | vpn | vpnCert | list | ✓ |
| 上传VPN证书 | vpn | vpnCert | upload | ✓ | ||
| 删除VPN证书 | vpn | vpnCert | delete | ✓ | ||
| 下载VPN证书 | vpn | vpnCert | download | ✓ | ||
