权限及授权项说明
权限体系说明
如果您需要对您所拥有的DataArts Studio进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用DataArts Studio服务的其他功能。
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云云服务资源的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
|
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
|---|---|---|---|---|
|
角色与策略授权 |
用户-权限-授权范围 |
说明:
DataArts Studio支持角色与策略授权中的系统角色(DAYU Administrator、DAYU User和DataArts Studio User),但不支持其中的系统策略和自定义策略。 |
为主体授予角色或策略 |
核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 |
|
身份策略授权 |
用户-策略 |
|
|
核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建华北-北京四区域的ECS和华南-广州区域的OBS的权限,基于角色与策略授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于身份策略授权的场景中,管理员仅需要创建一个自定义身份策略,在身份策略中通过条件键“g:RequestedRegion”的配置即可达到身份策略对于授权区域的控制。将身份策略附加主体或为主体授予该身份策略即可获得相应权限,权限配置方式更细粒度更灵活。
- 如果二者配置的权限中存在拒绝(deny)授权项,则拒绝策略优先生效。
- 对于二者配置的权限中的允许(allow)授权项,则允许策略取二者并集。
API调用权限说明
账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。
|
授权方式 |
权限要求 |
授权内容 |
举例 |
|---|---|---|---|
|
角色与策略授权 |
必须具备接口对应操作所需的相关角色权限(DataArts Studio不支持角色与策略授权模型下的系统策略和自定义策略方式)时,才能成功调用该接口。 |
相关角色权限可以配置为如下方式之一:
|
例如,IAM用户要调用接口来查询DataArts Studio实例列表,在角色与策略授权的场景中,只有当用户被授予DAYU Administrator、DAYU User或DataArts Studio User角色之一时,该接口才能调用成功。 |
|
身份策略授权 |
必须具备接口对应所需的相关系统策略权限,或在调用某些接口时具备授权项所对应的策略,才能成功调用该接口。 |
相关系统策略权限可以配置为如下方式之一:
|
例如,IAM用户要调用接口来查询DataArts Studio实例列表,在身份策略授权的场景中,只有当用户被授予DataArtsStudioFullAccessPolicy系统策略,或自定义策略中包含“DataArtsStudio:instance:list”授权项时,该接口才能调用成功。 |
|
当仅调用如下接口时,支持按照对应授权项的策略进行授权,详见表2。
|
