统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等,更多信息,请参见“创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略 :预置的系统策略,您只能使用不能修改。云搜索服务相关的系统策略包含如下:
csx admin:云搜索服务的管理者权限,包含云搜索服务所有控制权限(不含订单类权限);
csx user: 云搜索服务的使用者权限,包含云搜索服务的列表页与详情页面等查看权限;
自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见“创建自定义策略”。
| 控制台功能 | 三元组名称 | 配置支持IAM(全局/资源池) | 配置支持企业项目 |
|---|---|---|---|
| 查询实例详情(包含ES、Logstash) | ctcsx:instance:describeInstances | ✓ | ✓ |
| 创建实例 | ctcsx:instance:createInstance | ✓ | ✓ |
| 重启实例 | ctcsx:instance:restartInstance | ✓ | ✓ |
| 扩容实例 | ctcsx:instance:updateInstance | ✓ | ✓ |
| 加装节点 | ctcsx:instance:addNode | ✓ | ✓ |
| 升配实例 | ctcsx:instance:changeNode | ✓ | ✓ |
| 查询快照策略 | ctcsx:snapshot:describeSnapshotRule | ✓ | ✓ |
| 创建快照(包含手动、自动快照创建、修改快照规则) | ctcsx:snapshot:createSnapshot | ✓ | ✓ |
| 查询快照列表 | ctcsx:snapshot:describeSnapshot | ✓ | ✓ |
| 恢复快照 | ctcsx:snapshot:restoreSnapshot | ✓ | ✓ |
| 删除快照 | ctcsx:snapshot:deleteSnapshot | ✓ | ✓ |
| 停用快照功能 | ctcsx:snapshot:closeSnapshot | ✓ | ✓ |
| 开启云日志 | ctcsx:instance:openCloudLog | ✓ | ✓ |
| 关闭云日志 | ctcsx:instance:closeCloudLog | ✓ | ✓ |
| 修改配置信息 | ctcsx:instance:updateSetting | ✓ | ✓ |
| 查看配置信息 | ctcsx:instance:describeSettingsInfo | ✓ | ✓ |
| 密码重置 | ctcsx:instance:resetPassword | ✓ | ✓ |
| 查看安全设置 | ctcsx:instance:describeSecurityInfo | ✓ | ✓ |
| 绑定解绑变更公网IP | ctcsx:instance:updateNet | ✓ | ✓ |
| 开关Https协议 | ctcsx:instance:updateHttps | ✓ | ✓ |
| 退订实例 | ctcsx:instance:deleteInstance | ✓ | ✓ |
| 查看插件(默认插件&自定义插件) | ctcsx:instance:describePlugin | ✓ | ✓ |
| 安装卸载删除自定义插件 | ctcsx:instance:updatePlugin | ✓ | ✓ |
| Logstash加装 | ctcsx:instance:addNodeLogstash | ✓ | ✓ |
| Logstash管道创建(包含预校验) | ctcsx:pipeline:createPipe | ✓ | ✓ |
| Logstash管道部署/停止 | ctcsx:pipeline:changePipe | ✓ | ✓ |
| Logstash管道删除 | ctcsx:pipeline:deletePipe | ✓ | ✓ |
| Logstash实例退订 | ctcsx:instance:deleteLogstashInstance | ✓ | ✓ |
| Logstash实例列表查询 | ctcsx:instance:describeLogstashInstance | ✓ | ✓ |
| Logstash管道列表查询 | ctcsx:pipeline:describeLogstashPipe | ✓ | ✓ |
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
通过IAM用户控制资源访问
在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个IAM用户并为其授予不同的权限,实现不同IAM子用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。
授权策略权限操作步骤
创建IAM子用户
您可通过天翼云官网“账号中心”进入到天翼云官网的统一身份认证(IAM)服务中。点击“用户”>“创建用户”来为当前账号创建子用户。
根据页面提示输入信息,完成子用户创建。
子用户可拥有与主账号一致的控制台访问权限,但暂不开放新实例订购权限。
创建完的子用户需要加入用户组,并对该用户组赋予云搜索服务预设的系统策略,该子用户才能共享主账号的云搜索实例。
创建自定义策略(可选)
策略分为用户可以自行定义的自定义策略,以及预定义在平台录入的系统策略两类。
细粒度授权策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。
策略版本号:Version,标识策略结构的版本号。
策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。
作用(Effect)包含两种:允许(Allow)和拒绝(Deny)。
授权项(Action)是对资源的具体操作权限,支持单个或多个操作权限。
脚本配置策略示例:为IAM子用户配置云搜索服务查看者权限, 以及管理员的部分权限,如重启、开启关闭备份(*代表取所有值)。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ctcsx:instance:describeInstances",
"ctcsx:snapshot:describeSnapshotRule",
"ctcsx:snapshot:describeSnapshot",
"ctcsx:instance:describeSettingsInfo",
"ctcsx:instance:describeSecurityInfo",
"ctcsx:instance:describePlugin",
"ctcsx:instance:describeLogstashInstance",
"ctcsx:pipeline:describeLogstashPipe",
"ctcsx:pipeline:describeLogstashPipeInfo",
"ctcsx:instance:restartInstance",
"ctcsx:snapshot:createSnapshot",
"ctcsx:snapshot:closeSnapshot"
"vpce:*:list",
"vpce:*:get",
"zos:*:List",
"zos:*:Get",
"vpc:*:list",
"vpc:*:get",
"elb:*:list",
"elb:*:get",
"ecs:*:list",
"ecs:*:get",
"evs:*:list",
"evs:*:get"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}授权系统/自定义策略
授予IAM用户访问所创建的自定义策略范围中的资源,具体操作参见“用户组授权”;您也可以直接使用天翼云预置的产品系统策略对IAM子用户进行授权。
如需为指定云搜索实例创建用户,进行更细粒度的权限管控,请参见云搜索服务内实例用户及权限。
