功能介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。
使用前您需了解常用的基本概念,包括:帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等,详细请查看:术语解释。
IAM应用场景
IAM策略主要面向对同租户帐号下,对不同IAM用户授权的场景:
您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如文件系统的查看权限,进行最小粒度授权管理。
新创建的IAM用户可以使用自己的用户名和密码登录云服务平台,实现多用户协同操作时无需分享帐号的密码的安全要求。
使用流程
请查看:入门说明。
权限策略
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素"Action""Effect"等信息。通过给子用户赋予预置的系统权限策略或者自定义的权限策略进行子用户权限管理。
系统策略:预置的系统策略,您只能使用不能修改,具体说明请查看系统策略。海量文件服务预置的系统策略包含如下:
策略名称 策略描述 作用范围 海量文件服务OceanFS-管理者权限(admin) 管理者权限,包含海量文件服务所有控制权限(不包含订单类权限)。 资源池 海量文件服务OceanFS-观察者权限(viewer) 观察者权限,包含海量文件服务的列表页、详情页等查看权限,无操作管理权限。 资源池 自定义策略:您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见创建自定义策略。
海量文件服务OceanFS权限表
如下是本服务相关操作的权限定义,供您查看以及创建自定义策略参考。
注意
- 子用户使用本服务的OpenAPI也需要赋予相关操作的权限,见下方对应的OpenAPI URL或查看具体的接口文档中的接口约束说明。
如您的子账户需要进行性订单相关操作(创建/扩容/续订/退订),则需要再授权“订单与云网账号”相关权限,如bss admin策略”详细可参考子用户如何创建和下单一类节点资源。
控制台操作 | OpenAPI | 权限 | 系统策略 | 说明 | ||
| 一级功能 | 二级功能 | admin | viewer | |||
| 基础管理 | 创建文件系统 | /v4/oceanfs/new-sfs | oceanfs:shares:create | ✓ | 若要使用自定义策略,完整创建功能还需要添加vpc:*:list和vpce:*:list权限。 | |
| 文件系统重命名 | /v4/oceanfs/rename-sfs | oceanfs:shares:rename | ✓ | |||
| 删除/退订文件系统 | /v4/oceanfs/refund-sfs | oceanfs:shares:delete | ✓ | |||
| 扩容文件系统 | /v4/oceanfs/resize-sfs | oceanfs:shares:resize | ✓ | |||
| 续订文件系统 | /v4/oceanfs/renew-sfs | oceanfs:shares:renew | ✓ | |||
| 查看文件系统列表及列表导出 | /v4/oceanfs/list-sfs | oceanfs:shares:list | ✓ | ✓ | ||
| 查看文件系统详情 | /v4/oceanfs/info-by-name-sfs | oceanfs:shares:get | ✓ | ✓ | ||
| VPC管理 | 添加VPC | /v4/oceanfs/vpc-bind-permission | oceanfs:vpcs:bind | ✓ | ||
| 解绑VPC | /v4/oceanfs/vpc-unbind-permission | oceanfs:vpcs:detach | ✓ | 若要使用自定义策略,完整解绑功能还需要添加vpc:*:list、vpce:*:delete权限。 | ||
| 更换权限组 | /v4/oceanfs/vpc-change-permission | oceanfs:permission:change | ✓ | 若要使用自定义策略,完整更换权限组功能还需要添加vpc:*:list、sfs:permission:list权限。 | ||
| 跨域复制 | 创建复制 | /v4/oceanfs/create-duplicate | oceanfs:duplicate:create | ✓ | ||
| 删除复制 | /v4/oceanfs/delete-duplicate | oceanfs:duplicate:delete | ✓ | |||
| 设置复制覆盖保护 | /v4/oceanfs/set-protect-switch | oceanfs:protect:set | ✓ | |||
| 查看复制详情 | /v4/oceanfs/list-duplicate | oceanfs:duplicate:get | ✓ | ✓ | ||
| 快照 | 创建快照 | /v4/oceanfs/snapshot/new-snapshot | oceanfs:snapshot:create | ✓ | ||
| 删除快照 | /v4/oceanfs/snapshot/delete-snapshot | oceanfs:snapshot:delete | ✓ | |||
| 查看快照列表及详情 | /v4/oceanfs/snapshot/list-snapshot | oceanfs:snapshot:get | ✓ | ✓ | ||
| AD域 | 开启AD域 | /v4/oceanfs/join-ad | oceanfs:ad:join | ✓ | ||
| 修改AD域配置 | /v4/oceanfs/modify-ad | oceanfs:ad:update | ✓ | |||
| 关闭AD域 | /v4/oceanfs/delete-ad | oceanfs:ad:quit | ✓ | |||
| 查看AD域 | /v4/oceanfs/list-ad | oceanfs:ad:get | ✓ | ✓ | ||
说明
海量文件服务、弹性文件服务的权限组功能是共用的功能,权限组是一项更早的功能,受弹性文件服务相关的三元组控制,因此使用海量文件服务的用户在使用IAM功能的自定义策略功能时,需要为子账号赋予弹性文件服务的权限组相关的权限,具体参考下表。
| 一级功能 | 二级功能 | OpenAPI | 三元组 | admin | viewer |
|---|---|---|---|---|---|
| 权限组 | 创建 | /v4/oceanfs/permission-group/new-permission-group | sfs:permission:create | √ | |
| 修改 | /v4/oceanfs/permission-group/modify-permission-group | sfs:permission:update | √ | ||
| 删除 | /v4/oceanfs/permission-group/delete-permission-group | sfs:permission:delete | √ | ||
| 列出 | /v4/oceanfs/permission-group/list-permission-group | sfs:permission:list | √ | √ | |
权限组规则 | 创建规则 | /v4/oceanfs/permission-rule/new-permission-rule | sfs:rule:create | √ | |
| 修改规则 | /v4/oceanfs/permission-rule/modify-permission-rule | sfs:rule:update | √ | ||
| 删除规则 | /v4/oceanfs/permission-rule/delete-permission-rule | sfs:rule:delete | √ | ||
| 列出规则 | /v4/oceanfs/permission-rule/list-permission-rule | sfs:rule:list | √ | √ |
