使用标签控制对IAM用户的资源访问权限

操作说明

您是一名经验丰富的IAM管理员，您对IAM用户、信任委托和身份策略的创建、管理都非常熟悉。您希望确保您公司工程师团队和运维团队成员能够只访问其所需要的资源，并且后续会有更多类型的成员加入，您需要一个随着公司发展而扩展的身份策略。您选择使用主体标签和资源标签来编写该身份策略。支持资源标签的云服务列表见支持身份策略与信任委托的云服务列表中的“ABAC(基于标签的鉴权)”列。

步骤一：给IAM用户添加标签

1. 管理员进入统一身份认证服务新版控制台，在左侧导航栏选择“用户”页签。
2. 单击工程师团队IAM用户employee-user的名称，进入用户详情页，选择“标签”页签。
3. 单击左上角的“添加标签”。
4. 在弹窗中设置标签的键为employee-type和值为engineer。

   

步骤二：为资源添加标签

以信任委托为例（当以信任委托会话发起访问时，信任委托是IAM主体，此时它的标签是主体标签；当以IAM主体访问信任委托时，信任委托是IAM资源，此时它的标签是资源标签。）

1. 管理员进入统一身份认证服务新版控制台，在左侧导航栏选择“委托”页签。
2. 单击工程师团队IAM用户employee-user可访问的信任委托的名称，进入信任委托engineer-access详情页，选择“标签”页签。
3. 单击左上角的“添加标签”。
4. 在弹窗中设置标签的键为employee-type和值为engineer。 单击“确定”。

   

5. 返回信任委托列表，单击运维团队operations可访问的信任委托的名称，进入信任委托operations-access详情页，选择“标签”页签。
6. 在弹窗中设置标签的键为employee-type和值为operations。 单击“确定”。

   

步骤三：创建自定义身份策略

1. 管理员进入统一身份认证服务新版控制台，在左侧导航栏选择“身份策略”页签。
2. 单击右上角“创建自定义身份策略”。
3. 输入身份策略名称为“engineer-access-policy”。
4. 策略配置方式选择“JSON视图”。配置以下身份策略，表示当主体标签和所访问的资源标签相等时允许访问。

   {
   	"Version": "5.0",
   	"Statement": [{
   		"Effect": "Allow",
   		"Action": [
   			"iam:agencies:getV5"
   		],
   		"Condition": {
   			"StringEquals": {
   				"g:ResourceTag/employee-type": [
   					"${g:PrincipalTag/employee-type}"
   				]
   			}
   		}
   	}]
   }

5. 单击“确定”。完成身份策略创建。

步骤四：将身份策略附加至授权主体

1. 管理员进入统一身份认证服务新版控制台，在左侧导航栏选择“身份策略”页签。
2. 勾选步骤三中创建的身份策略，单击身份策略列表上方的“附加”。
3. 勾选步骤一添加标签的工程师团队IAM用户employee-user，单击“确定”。

   

步骤五：验证结果

1. 除了为工程师团队IAM用户employee-user附加步骤三中创建的身份策略，还需要为其附加一个能够列举所有委托的身份策略（用于IAM控制台查看委托和信任委托的列表，如果仅进行API访问则不需要附加该身份策略）。
2. 工程师团队IAM用户employee-user分别查看信任委托engineer-access和信任委托operations-access。
   • 查看信任委托engineer-access时，可以查看到信任委托详情。这是由于employee-user的主体标签与engineer-access的资源标签相同，符合身份策略的内容。

     

   • 查看信任委托operations-access时，提示权限不足。这是由于employee-user的主体标签与operations-access的资源标签不同。

     

后续操作

如果该公司后续新增成员，则不需要修改已经编写好的身份策略，只需要给新增的成员和这些成员可访问的资源添加相应的标签即可。