天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户,轻松实现IAM子用户对日志审计(原生版)资源的访问控制、权限分配等。
默认情况下,天翼云主账号拥有管理员权限,而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组,并给用户组授权相应策略后,IAM用户才能获得策略对应的权限,才可以基于被授予的权限对云服务进行操作。
日志审计(原生版)支持企业项目管理,若您需要对日志审计(原生版)资源进行分组和管理,形成逻辑隔离,您可以创建企业项目,并将资源划分至不同的企业项目中,不同的企业项目可以绑定不同的用户组,并给用户组授予日志审计(原生版)产品的权限策略(包括系统策略和自定义策略),从而实现对特定资源的授权。
说明
仅“一类节点”区域的实例支持企业项目管理。
IAM应用场景
IAM策略主要面向同一主账号下,对不同IAM用户授权的场景:
您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如查看权限,进行最小粒度授权管理。
新创建的IAM用户可以使用自己的登录名和密码登录控制台,实现多用户协同操作时无需分享账号密码的安全要求。
日志审计(原生版)IAM策略说明
天翼云为日志审计(原生版)提供如下系统策略。如果系统策略不满足授权要求,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,详情请参见创建自定义策略。
| 策略名称 | 策略描述 | 类别 | 授权范围 |
|---|---|---|---|
| las-admin | 日志审计(原生版)系统管理员策略。 | 系统策略 | 全局级 |
| las-audit | 日志审计(原生版)审计管理员策略,只具备查看权限。 | 系统策略 | 全局级 |
| las-security | 日志审计(原生版)安全管理员策略。 | 系统策略 | 全局级 |
日志审计(原生版)权限及授权项
策略支持的操作与授权项相对应,授权项列表说明如下:
权限:允许或拒绝IAM用户某项操作。
授权项:授权操作对应的权限三元组,创建自定义策略时,支持可视化JSON视图写入权限三元组实现策略配置。
权限类型:授权操作对应的读写类型。
| 权限 | 授权项 | 权限类型(读/写) | las-admin | las-audit | las-security |
|---|---|---|---|---|---|
| 实例列表 | las:vm:list | 读 | √ | √ | √ |
| 实例状态检查 | las:vmCheckAlive:get | 读 | √ | √ | √ |
| 实例关闭 | las:vmShutdown:access | 写 | √ | × | √ |
| 实例启动 | las:vmStart:access | 写 | √ | × | √ |
| 实例升级 | las:vmUpgradeVersion:access | 写 | √ | × | √ |
| 实例切换子网 | las:vmChangeSubnet:access | 写 | √ | × | √ |
| 实例更新 | las:vmUpdate:access | 写 | √ | × | √ |
通过IAM授权使用日志审计(原生版)
详细操作请参考:
