天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户,轻松实现IAM子用户对日志审计(原生版)资源的访问控制、权限分配等。
默认情况下,天翼云主账号拥有管理员权限,而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组,并给用户组授权相应策略后,IAM用户才能获得策略对应的权限,才可以基于被授予的权限对云服务进行操作。
日志审计(原生版)支持企业项目管理,若您需要对日志审计(原生版)资源进行分组和管理,形成逻辑隔离,您可以创建企业项目,并将资源划分至不同的企业项目中,不同的企业项目可以绑定不同的用户组,并给用户组授予日志审计(原生版)产品的权限策略(包括系统策略和自定义策略),从而实现对特定资源的授权。
说明
仅“一类节点”区域的实例支持企业项目管理。
IAM应用场景
IAM策略主要面向同一主账号下,对不同IAM用户授权的场景:
您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如查看权限,进行最小粒度授权管理。
新创建的IAM用户可以使用自己的登录名和密码登录控制台,实现多用户协同操作时无需分享账号密码的安全要求。
日志审计(原生版)IAM策略说明
天翼云为日志审计(原生版)提供如下系统策略。如果系统策略不满足授权要求,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,详情请参见创建自定义策略。
| 策略名称 | 策略描述 | 类别 | 授权范围 |
|---|---|---|---|
| las-admin | 日志审计(原生版)系统管理员策略。 | 系统策略 | 全局级 |
| las-audit | 日志审计(原生版)审计管理员策略。 | 系统策略 | 全局级 |
| las-security | 日志审计(原生版)安全管理员策略。 | 系统策略 | 全局级 |
| las-business | 日志审计(原生版)业务员策略,仅支持使用日志审计实例,不支持订单操作相关操作。 | 系统策略 | 全局级 |
日志审计(原生版)权限及授权项
策略支持的操作与授权项相对应,授权项列表说明如下:
权限:允许或拒绝IAM用户某项操作。
授权项:授权操作对应的权限三元组,创建自定义策略时,支持可视化JSON视图写入权限三元组实现策略配置。
权限类型:授权操作对应的读写类型。
| 权限 | 授权项 | 权限类型(读/写) | las-admin | las-audit | las-security |
|---|---|---|---|---|---|
| 实例列表 | las:vm:list | 读 | √ | √ | √ |
| 实例状态检查 | las:vmCheckAlive:get | 读 | √ | √ | √ |
| 实例关闭 | las:vmShutdown:access | 写 | √ | × | √ |
| 实例启动 | las:vmStart:access | 写 | √ | × | √ |
| 实例升级 | las:vmUpgradeVersion:access | 写 | √ | × | √ |
| 实例切换子网 | las:vmChangeSubnet:access | 写 | √ | × | √ |
| 实例更新 | las:vmUpdate:access | 写 | √ | × | √ |
| 实例审计员权限 | las:instance:audit | 写 | × | √ | × |
| 实例安全员权限 | las:instance:security | 写 | × | × | √ |
| 实例超级管理员权限 | las:instance:admin | 写 | √ | × | × |
特殊权限说明
说明
仅V3.6.0及以上版本的日志审计实例支持下表中的三个权限。
| 权限 | 定义 | 拥有的菜单 |
|---|---|---|
| 实例审计员权限 | 负责监督和检查系统的操作和活动,确保合规性和正确性 | 首页、资产管理、日志审计、风险分析-事件策略、报表管理、操作日志 |
| 实例安全员权限 | 制定和实施信息安全策略和政策,确保组织的信息安全 | 首页、资产管理、日志审计、风险分析、风险处置 |
| 实例超级管理员权限 | 维护系统稳定运行 | 所有菜单 |
依赖策略说明
如需让账号拥有在日志审计(原生版)控制台下单、管理云主机、弹性网络等权限,还需配置如下策略:
| 策略名称 | 策略描述 | 授权范围 | 配置说明 |
|---|---|---|---|
| CtyunBssAdmin | 控制天翼云订单、合同、标签、客户信息管理全量操作权限(包含一类、二类资源池节点)。 | 全局级 | 若子账号涉及开单、支付、订单管理等操作,需配置该策略。 |
| ecs admin | 控制天翼云云主机服务开通、管理权限。 | 资源池 | 若子账号涉及开通、管理云主机(云等保专区下单涉及开通主机),需要配置该策略。 |
| vpc admin | 控制天翼云弹性IP开通、新建、配置等管理权限。 | 资源池 | 若子账号涉及配置、新建、管理弹性网络(子网、EIP、安全组、弹性网卡、VIP、子网路由等),需要配置该策略。 |
通过IAM授权使用日志审计(原生版)
详细操作请参考:
