权限及授权项说明

iDEE控制台权限

默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

根据授权的精细程度，分为角色和策略。

• 角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。
• 策略以API接口为粒度进行权限拆分，授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。

iDEE系统策略说明，请参见权限管理。

如果您需要允许或者禁止某个接口的操作权限，请使用策略。

iDEE业务面权限

iDEE采用RBAC（Role-Based Access Control，基于角色的访问控制）授权策略，实现基于角色的细粒度划分。根据角色授权的精细程度，分为角色和授权项，明确定义了服务允许或者拒绝的用户操作。

在iDEE业务面中，iDEE预置的系统默认角色分为两种角色，分别为：租户管理员和工程师。默认情况下，在admin用户组内的IAM用户默认为租户管理员，不在admin用户组内的IAM用户默认为工程师。

iDEE业务面角色和授权项说明，请参见权限管理。

支持的授权项

在iDEE控制台中，策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下：

• 权限：允许或拒绝某项操作。
• 对应API接口：自定义策略实际调用的API接口。

• 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。
• 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。
• IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，请参见IAM与企业管理的区别。
  

  “√”表示支持，“x”表示暂不支持。

在iDEE业务面中，角色包含系统角色和自定义角色，如果系统角色不满足授权要求，管理员可以创建自定义角色，并通过给用户组添加自定义角色来进行精细的访问控制。角色支持的操作与API相对应，授权项列表说明如下：

• 对应API接口：自定义角色实际可调用的API接口。
• 授权项：iDEE服务支持的自定义角色授权项如下。
  • 工作台：包括iDEE所有转换操作接口对应的授权项。
  • 管理：包括用户管理和日志接口对应的授权项。