通过IAM身份策略授予使用iDME的权限
如果您需要对您所拥有的iDME进行身份策略权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)。
在iDME中,iDME控制台是基于IAM系统身份策略和自定义身份策略的授权,可以通过用户组功能实现IAM用户的授权。当您需要将相关资源分配给企业中不同的员工或者应用程序使用时,可以通过添加IAM账号实现。
基于IAM能力的授权遵循最大权限优先授权规则。如果用户同时获得iDME多个策略的授权,且这些策略的授权范围方案不同时,将根据该用户具有的最高权限进行授权,确保用户可以在其权限范围内进行最广泛的操作,从而充分利用其权限。
关于iDME更多相关权限的介绍,详细可参考身份策略权限管理。
IAM授权流程
- 创建用户或创建用户组。
在IAM控制台创建用户或用户组。
- 将系统策略附加至用户或用户组。
为用户或用户组授予iDME只读权限的系统身份策略“iDMEReadOnlyPolicy”,并将身份策略附加至用户或用户组。
- 用户登录并验证权限。
新创建的用户登录控制台后,在“服务列表”中选择“工业数字模型驱动引擎”,尝试创建应用,如果无法成功操作(假设当前权限仅包含iDMEReadOnlyPolicy),表示iDMEReadOnlyPolicy已生效。
系统身份策略
IAM中预置的iDME系统身份策略当前包含iDMEReadOnlyPolicy、iDMEFullAccessPolicy、iDMEEnvOperationPolicy和iDMEAppOperationPolicy几种策略。
关于iDME系统策略的主要权限说明,详细请参见iDME系统策略。
- iDMEReadOnlyPolicy:工业数字模型驱动引擎的只读策略,拥有应用列表、运行服务列表的只读权限。
- iDMEFullAccessPolicy:工业数字模型驱动引擎服务所有权限。
- iDMEEnvOperationPolicy:工业数字模型驱动引擎的运行环境管理权限,拥有部署和卸载应用的权限。
- iDMEAppOperationPolicy:工业数字模型驱动引擎的应用管理权限,拥有创建和修改应用的权限。
自定义身份策略
自定义身份策略是对系统身份策略的扩展和补充。如果预置的iDME系统身份策略,不满足您的授权要求,可以创建自定义身份策略。自定义身份策略中可以添加的授权项(Action)请参考权限策略和授权项。
目前华为云支持以下两种方式创建自定义身份策略:
- 可视化视图创建自定义身份策略:无需了解JSON语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义身份策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
具体创建步骤请参见:创建自定义身份策略并附加至主体。
请注意,自定义身份策略修改后,相关权限不会即时生效,通常需要等待约15分钟才会自动生效。
您可以在创建自定义身份策略时,通过资源类型(Resource)元素来选择特定资源,以及条件键(Condition)元素来控制策略何时生效。支持的资源类型和条件键请参考身份策略授权参考下面为您介绍常用的iDME自定义身份策略样例。
- 示例1:授权用户查询数据建模引擎公有云服务的权限
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "dme:envs:query" ], "Resource": [ "dme:*:*:xDM-F-Runtime:*" ], "Condition": { "StringEquals": { "g:EnterpriseProjectId": [ "test" ] } } } ] } - 示例2:多个授权项策略
一个自定义身份策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,多个授权语句策略描述如下:
{ "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "dme:envs:delete", "dme:envs:query" ], "Resource": [ "dme:*:*:xDM-F-Runtime:*" ], "Condition": { "StringEquals": { "g:EnterpriseProjectId": [ "test" ] } } }, { "Effect": "Allow", "Action": [ "eps:enterpriseProjects:list" ] } ] }
