权限及授权项说明
如果您需要对您所拥有的CCI进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用CCI服务的其它功能。
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托)对华为云资源的访问范围。权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
目前IAM支持两类授权模型,一类是经典授权(RBAC)模型,称为角色授权。
默认情况下,新建的主体没有任何权限,需要为主体授予系统角色、系统策略或自定义策略,并选择授权范围,才能使主体获得相应的权限。
另一类是基于ABAC的新模型,称为策略授权。管理员可根据业务需求定制不同的访问控制策略,为主体授予该策略即可获得相应权限,能够做到更细粒度更灵活的权限控制。授权后,主体就可以基于已有权限对云服务进行操作。
两者有如下的区别和关系:
|
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
|---|---|---|---|---|
|
角色授权 |
用户-角色-权限 |
|
为主体授予角色或策略 |
每个用户可以根据被分配的角色相对快速的被授予相关权限,但灵活性较差,难以满足细粒度精确权限控制需求,更适用于对维护角色和授权关系工作量较小的中小企业用户。 |
|
策略授权 |
用户-策略 |
|
|
新增资源时,对比角色授权需要维护所有相关角色,基于策略的授权模型仅需要维护较少的资源,可扩展性更强,更方便。但相对应的,整体模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建华北-北京四区域的ECS和华南-广州区域的CCI的权限,基于角色授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于策略授权的场景中,管理员仅需要创建一个自定义策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将策略附加主体或为主体授予该策略即可获得相应权限,权限配置方式更细粒度更灵活。
两种授权模型场景下的策略、授权项等并不互通,推荐使用基于策略授权的模型进行授权。
账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
例如,用户要调用接口来查询云容器实例列表,那么在基于策略授权的场景中,这个IAM用户被授予的权限中包含“cci:pod:list”的授权项,该接口才能调用成功。
