在协同使用资源的场景下,如果您需要根据实际的职责权限情况配置用户使用权限,可使用统一身份认证(Identity and Access Management,简称IAM)服务,创建多个IAM用户并为其授予不同的权限,实现不同IAM子用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
IAM是天翼云提供的免费基础服务,您只需为购买资源进行付费。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
- 系统策略:预置的系统策略,您只能使用不能修改。云服务器ECS相关的系统策略包含如下:
- Admin:弹性伸缩服务的管理者权限,包含弹性伸缩所有控制权限(不含订单类权限)。
- Viewer:弹性伸缩服务的观察者权限,包含弹性伸缩服务的列表页与详情页面权限。
- 自定义策略:您按需自行创建和维护的权限策略。
弹性伸缩策略表
弹性伸缩提供2种系统策略,具体见下表:
| 策略名称 | 策略类型 | 策略描述 |
|---|---|---|
| scaling admin | 系统策略 | 对弹性伸缩所有资源具备操作权限。 |
| sacaling viewer | 系统策略 | 对弹性伸缩所有资源具备只读权限。 |
弹性伸缩权限三元组表
下表是弹性伸缩服务相关权限三元组及生效范围:
| 控制台权限 | 权限三元组 | IAM(资源池/全局) | 企业项目(资源组) |
|---|---|---|---|
| 创建弹性伸缩组 | as:groups:create | ✓ | ✓ |
| 修改伸缩组 | as:groups:update | ✓ | ✓ |
| 启用/停用伸缩组 | as:groups:action | ✓ | ✓ |
| 删除伸缩组 | as:groups:delete | ✓ | ✓ |
| 伸缩组更换伸缩配置 | as:groups:change | ✓ | ✓ |
| 查看伸缩组列表 | as:groups:list | ✓ | ✓ |
| 查看伸缩组详情(伸缩实例、监控、伸缩活动、伸缩策略) | as:groups:get as:instances:list as:activity:list as:policies:list vpc::list vpc::get ecs::listecs::get img::list img::get evs::list evs::get |
✓ | ✓ |
| 实例移入伸缩组 | as:instances:move | ✓ | ✓ |
| 实例移出伸缩组 | as:instances:leave | ✓ | ✓ |
| 实例移出伸缩组并释放 | as:instances:delete | ✓ | ✓ |
| 开启实例保护 | as:instances:protect | ✓ | ✓ |
| 取消实例保护 | as:instances:unprotect | ✓ | ✓ |
| 查询伸缩组实例列表 | as:instances:list | ✓ | ✓ |
| 查询伸缩活动列表 | as:activity:list | ✓ | ✓ |
| 创建伸缩策略 | as:policies:create cm:alarmRules:* |
✓ | ✓ |
| 立即执行/启用/停用伸缩策略 | as:policies:action cm:alarmRules:* |
✓ | ✓ |
| 修改伸缩策略 | as:policies:update cm:alarmRules:* |
✓ | ✓ |
| 删除伸缩策略 | as:policies:delete cm:alarmRules:* |
✓ | ✓ |
| 查询伸缩策略列表 | as:policies:list | ✓ | ✓ |
| 查询伸缩策略详情 | as:policies:get | ✓ | ✓ |
| 创建伸缩配置 | as:configs:create ecs: : evs: : ims:: |
✓ | ✓ |
| 修改伸缩配置 | as:configs:update ecs:: evs:: ims:: |
✓ | ✓ |
| 复制伸缩配置 | as:configs:copy ecs:: evs:: ims:: |
✓ | ✓ |
| 删除伸缩配置 | as:configs:delete | ✓ | ✓ |
| 查看伸缩配置列表 | as:configs:list | ✓ | ✓ |
| 查看伸缩配置详情 | as:configs:get | ✓ | ✓ |
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
