统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
1、身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
2、权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略 :预置的系统策略,您只能使用不能修改,具体说明请查看系统策略。
其中云监控服务相关的系统策略包含如下:
云监控管理者(admin) :云监控服务的管理者权限,包含云监控服务的所有控制权限;
云监控查看者(viewer):云监控服务的查看者权限,包含资源列表、告警规则列表查看等权限;
自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见创建自定义策略。
3、云监控接口对应权限表
如下是云监控服务相关权限三元组及生效范围:
| 控制台接口 | 权限三元组 | 配置支持 | ||
|---|---|---|---|---|
| IAM(资源池/全局) | 企业项目(资源组) | |||
| 监控面板 | 获取监控面板列表 | cm:panel:list | √ |
|
| 创建监控面板 | cm:panel:create | √ |
| |
| 修改监控面板 | cm:panel:update | √ |
| |
| 删除监控面板 | cm:panel:delete | √ |
| |
| 资源分组 | 资源分组列表获取 | cm:resourceGroup:list | √ |
|
| 创建资源分组 | cm:resourceGroup:create | √ |
| |
| 修改资源分组 | cm:resourceGroup:update | √ |
| |
| 删除资源分组 | cm:resourceGroup:delete | √ |
| |
| 云服务监控 | 监控数据 | cm:monitor:query |
| |
| 导出监控数据 | cm:monitor:download |
| ||
| 网络分析与监控 | 站点监控列表获取 | cm:siteMonitor:list | √ |
|
| 创建站点监控 | cm:siteMonitor:create | √ |
| |
| 修改站点监控 | cm:siteMonitor:update | √ |
| |
| 删除站点监控 | cm:siteMonitor:delete | √ |
| |
| 告警模版 | 自定义告警模板列表获取 | cm:alarmTemplate:list | √ |
|
| 创建自定义告警模板 | cm:alarmTemplate:create | √ |
| |
| 修改自定义告警模板 | cm:alarmTemplate:update | √ |
| |
| 删除自定义告警模板 | cm:alarmTemplate:delete | √ |
| |
告警规则 | 告警规则列表获取 | cm:alarmRules:list | √ | √ |
| 创建告警规则 | cm:alarmRules:create | √ |
| |
| 修改告警规则 | cm:alarmRules:update | √ |
| |
| 删除告警规则 | cm:alarmRules:delete | √ |
| |
| 启用停用告警规则 | cm:alarmRules:changeStatus | √ |
| |
| 告警联系人/组 | 查询联系人列表 | cm:contact:list | √ |
|
| 添加联系人 | cm:contact:create | √ |
| |
| 修改联系人 | cm:contact:update | √ |
| |
| 删除联系人 | cm:contact:delete | √ |
| |
| 查询联系组列表 | cm:contactGroup:list | √ |
| |
| 添加联系组 | cm:contactGroup:create | √ |
| |
| 修改联系组 | cm:contactGroup:update | √ |
| |
| 删除联系组 | cm:contactGroup:delete | √ |
| |
| 数据订阅 | 订阅任务列表获取 | cm:subscribeTask:list | √ | |
| 创建订阅任务 | cm:subscribeTask:create | √ | ||
| 修改订阅任务 | cm:subscribeTask:update | √ | ||
| 删除订阅任务 | cm:subscribeTask:delete | √ | ||
注意
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。
部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。
以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
