3.2.1 策略说明
策略根据创建的对象,分为系统策略和自定义策略。
系统策略
云服务在IAM预置了常用的授权项,称为系统策略。管理员给用户组授权时,可以直 接使用这些系统策略,但系统策略只能使用,不能修改。
GES系统策略包括GES FullAccess,GES Development及GES ReadOnlyAccess。涵盖 了绝大部分用户角色分配场景,推荐您使用这种策略权限。详细请参考GES系统策 略。
自定义策略
如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义 策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统 策略的扩展和补充。目前华为云支持可视化视图、JSON视图两种自定义策略配置方 式。详细请参考GES自定义策略。
3.2.2 GES 系统策略
表3-1 GES 系统策略 策略名称 描述
GESFullAccess 图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权 限,包括创建、删除、访问、升级等操作。
说明
● 拥有该权限的用户需要同时拥有Tenant Guest、Server Administrator、
VPC Administrator权限。
● 如果需要绑定/解绑EIP,则还需要拥有Security Administrator角色用于创 建委托。Security Administrator角色权限较大,可以使用如下自定义策略 替代:"iam:agencies:listAgencies","iam:permissions:listRolesForAgency","iam:p ermissions:listRolesForAgencyOnProject","iam:permissions:listRolesForA gencyOnDomain"
● 资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服 务,对应的OBS策略需要在全局服务下查找)。
● “企业项目”中配置GES FullAccess时,需要额外在IAM权限中配置如下策 略权限:
● ecs:availabilityZones:list,请参考可用区管理。
● ecs:cloudServerNics:update,请参考网卡管理。
策略名称 描述 GESDevelopme
nt
图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除 图、扩容、扩副本以外所有操作。
说明
● 如果需要绑定/解绑EIP,则还需要拥有Security Administrator角色用于创 建委托。Security Administrator角色还可以使用自定义策略替代,自定义 策略包含:
"iam:agencies:listAgencies","iam:permissions:listRolesForAgency","iam:p ermissions:listRolesForAgencyOnProject","iam:permissions:listRolesForA gencyOnDomain"
● 资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服 务,对应的OBS策略需要在全局服务下查找)。
GESReadOnlyA ccess
图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类 的操作如查看图列表、查看元数据和查看备份等。
说明资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服务,
对应的OBS策略需要在全局服务下查找)
说明
由于缓存的存在,对用户和用户组授予OBS相关的角色后,大概需要等待13分钟角色才能生 效;授予策略后,大概需要等待5分钟策略才能生效。
表3-2 GES 常用操作与系统策略的关系
操作 GES
FullAccess GES
Development GES
ReadOnlyAcc ess
对应资源
操作 GES
FullAccess GES
Development GES
ReadOnlyAcc ess
对应资源
如果系统预置的GES权限,不满足您的授权要求,可以创建自定义策略。自定义策略中 可以添加的授权项(Action)请参考权限策略和授权项。
目前华为云支持以下两种方式创建自定义策略:
● 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服 务、操作、资源、条件等策略内容,可自动生成策略。
● JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内 容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的GES自定义策略样例。
GES 自定义策略样例
"ges:graph:operate" 中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。
如果您给用户授予GES FullAccess的系统策略,但不希望用户拥有GES FullAccess 中定义的删除图权限,您可以创建一条拒绝删除独享集群的自定义策略,然后同 时将GES FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对 GES执行除了删除图外的所有操作。拒绝策略示例如下:
{ "Version": "1.1",
● 示例3:授权用户操作图名称前缀为ges_project的图(ges_project名字不区分大小 写),访问图列表。
– 第一部分:授权用户操作资源名称前缀为ges_project的资源,资源包含图、
元数据、备份。
– 第二部分:授权用户查询图列表、查询备份列表、查询任务列表、查询元数 据列表、校验元数据文件、查看job详情。
{ "Version": "1.1", "Statement": [ {
"Action": [
"ges:graph:operate",
您可以在创建自定义策略时,通过添加“请求条件”(Condition元素)来控制策略何 时生效。请求条件包括条件键和运算符,条件键表示策略语句的 Condition 元素,分 为全局级条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,服务 级条件键(前缀为服务缩写,如ges)仅适用于对应服务的操作。运算符与条件键一起 使用,构成完整的条件判断语句。
GES通过IAM预置了一组条件键,例如,您可以先使用hw:SourceIp条件键检查请求者 的 IP 地址,然后再允许执行操作。下表显示了适用于GES服务特定的条件键。
表3-3 GES 请求条件
GES条件键 运算符 描述
g:CurrentTime Date and time 接收到鉴权请求的时间。
说明以 ISO 8601 格式表示,例如:
2012-11-11T23:59:59Z。
g:MFAPresent Boolean 用户登录时是否使用了多因素认证。
g:UserId String 当前登录的用户id。
g:UserName String 当前登录的用户名。
g:ProjectName String 当前登录的Project。
g:DomainName String 当前登录的Domain。
3.2.5 GES 资源
资源是服务中存在的对象。在GES中,资源如下,您可以在创建自定义策略时,通过指 定资源的路径来选择特定资源。
表3-4 GES 的指定资源与对应路径
指定资源 资源名称 资源的路径
graphName GES图名称 graph.name backupNam
e GES备份名称 backup.name