基本介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限,具体介绍说明详见:产品定义。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素左作用(Effect)、权限集(Action)等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
1. 系统策略 :预置的系统策略,您只能使用不能修改。云专线相关的系统策略包含如下:
sdwan admin:天翼云SD-WAN服务的管理者权限,包含天翼云SD-WAN服务所有控制权限;
sdwan viewer:天翼云SD-WAN服务的观察者权限,包含天翼云SD-WAN服务的列表页与详情页面权限;
2. 自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,具体配置说明详见:创建自定义策略。
对应权限表
| 控制台接口 | 权限三元组 | 配置支持 | |
|---|---|---|---|
| IAM(资源池/全局) | 企业项目(资源组) | ||
创建sdwan | SDWAN:SDWAN:create | √ | √ |
查看sdwan列表 | SDWAN:SDWAN:list | √ | √ |
修改sdwan | SDWAN:SDWAN:update | √ | √ |
删除sdwan | SDWAN:SDWAN:delete | √ | √ |
| 创建edge互联关系 | SDWAN:edge-branch:create | √ | √ |
| 删除edge互联关系 | SDWAN:edge-branch:delete | √ | √ |
| 开启链路监控 | SDWAN:link-detect:create | √ | √ |
| 关闭链路监控 | SDWAN:link-detect:delete | √ | √ |
智能网关-链路配置 | SDWAN:edge:link-config | √ | √ |
| 查看链路探测目的IP | SDWAN:detect-ip:list | √ | √ |
| 绑定sdwan | SDWAN:edge-bind-sdwan:create | √ | √ |
| 解绑sdwan | SDWAN:edge-bind-sdwan:delete | √ | √ |
创建snat | SDWAN:snat:create | √ | √ |
| 修改snat | SDWAN:snat:update | √ | √ |
| 删除snat | SDWAN:snat:delete | √ | √ |
| 查看snat | SDWAN:snat:list | √ | √ |
| 创建dnat | SDWAN:dnat:create | √ | √ |
| 删除dnat | SDWAN:dnat:delete | √ | √ |
| 查看dnat | SDWAN:dnat:list | √ | √ |
添加静态路由 | SDWAN:edge-static-route:create | √ | √ |
| 删除静态路由 | SDWAN:edge-static-route:delete | √ | √ |
| 查看静态路由 | SDWAN:edge-static-route:list | √ | √ |
| 创建acl | SDWAN:acl:create | √ | √ |
| 查看acl | SDWAN:acl:list | √ | √ |
| 修改acl | SDWAN:acl:update | √ | √ |
| 删除acl | SDWAN:acl:delete | √ | √ |
绑定acl | SDWAN:acl-edge:bind | √ | √ |
| 解绑acl | SDWAN:acl-edge:unbind | √ | √ |
创建qos | SDWAN:qos:create | √ | √ |
| 查看qos | SDWAN:qos:list | √ | √ |
| 修改qos | SDWAN:qos:update | √ | √ |
| 删除qos | SDWAN:qos:delete | √ | √ |
| 绑定qos | SDWAN:edge-bind-qos:create | √ | √ |
| 解绑qos | SDWAN:edge-bind-qos:delete | √ | √ |
查询可创建互联的智能网关 | SDWAN:edge-branch:list-edge | √ | √ |
| 激活智能网关 | SDWAN:edge-active:create | √ | √ |
| 恢复出厂设置 | SDWAN:edge-active:delete | √ | √ |
| 网络配置 | SDWAN:edge-net-config:create | √ | √ |
| 查看智能网关列表 | SDWAN:edge-info:list | √ | √ |
| 订购智能网关 | SDWAN:sdwan:new | √ | √ |
| 退订智能网关 | SDWAN:sdwan:refund | √ | √ |
