默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访 问IAM时,不需要切换区域。
权限根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业 务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能 正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对 权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业 对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅 能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度 进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。
表7-1 IAM 系统权限 系统角色/策
略名称
描述 类别 角色/策略内容
FullAccess 基于策略授权的所有服务的所有 权限,拥有该权限的用户可以完
IAMReadOnlyAcc ess
统一身份认证服务的只读权限,
拥有该权限的用户仅能查看统一 身份认证服务数据。
系统
策略 IAM ReadOnlyAccess 策略内容
Security
Administrator 统一身份认证服务的管理员权 限,拥有该权限的用户拥有IAM 支持的所有权限,包括创建、删 除IAM用户等操作。
系统
角色 Security
Administrator角色内 容
Agent
Operator 统一身份认证服务的切换角色权 限,拥有该权限的用户(被委托 方)可以切换角色并访问委托方 帐号中的资源。
系统
角色 Agent Operator角色 内容
Tenant Guest 除统一身份认证服务外,其他所 有服务的只读权限。
系统 策略
Tenant Guest角色内容 Tenant
Administrator 除统一身份认证服务外,其他所 有服务的管理员权限。
系统 策略
Tenant Administrator 角色内容
表2列出了IAM常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权 限。
说明
Tenant Guest、Tenant Administrator是统一身份认证服务提供的基础权限,不包含IAM的任何 权限,因此下表中不进行解析。
表7-2 常用操作与系统权限的关系
操作 Security
Administra tor
Agent
Operator FullAccess IAM
ReadOnlyAccess
操作 Security Administra tor
Agent
Operator FullAccess IAM
ReadOnlyAccess
操作 Security Administra tor
Agent
Operator FullAccess IAM
ReadOnlyAccess
导入Metadata文 件
√ × √ ×
查询Metadata文 件