如何查看授权关系
“授权记录”页签为您显示该用户组所有授权关系,您可以选择“策略名”、“用户名/用户组名/委托名”、“项目区域”、“企业项目(已开启企业项目)”“主体类型”为过滤条件查看指定授权关系。如需查看账号下所有授权关系,请前往“权限管理>授权管理”页面。
- 策略名:权限的名称。如选择过滤条件为“策略名”,输入指定权限名称,查看该用户组指定权限的授权记录。
- 用户名/用户组名/委托名:IAM用户、用户组、委托的名称。输入指定对应名称,查看其授权记录。
- 项目区域:IAM项目或企业项目的名称,即权限的作用范围。如选择过滤条件为“项目区域”,输入指定IAM项目或企业项目的名称,查看该用户组基于该项目授权的授权关系。
- 主体类型:授权对象类型,可以选择用户、用户组、委托3种。IAM项目视图下,可以选择主体类型为“用户组”、“委托”,如果选择“用户”,筛选结果为空。
- 企业项目:企业项目的名称。如果您在IAM用户视图下,选择“企业项目”为过滤条件,并输入企业项目名称,将自动切换至企业项目视图。
如您已开通企业项目,可以选择IAM项目视图、企业项目视图,查看该用户组基于IAM项目或企业项目的授权记录。关于企业项目特性的详细信息,请参见《企业管理服务用户指南》。如您暂未开通企业项目,将直接显示IAM项目视图。
下面为您详细介绍授权管理页面各项参数及其修改方法。
权限
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。
管理权限:您可以在“权限管理>权限”页面创建自定义策略并查看系统角色、系统策略、自定义策略。
给用户组授权:单击“授权记录”页签下的“授权”,为用户组授予权限。
项目
区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。
除IAM项目外,您可以使用企业项目,企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。关于企业项目特性的详细信息,请参见《企业管理服务用户指南》。
管理项目:您可以在“项目”页面创建子项目,并查看所有默认区域项目、子项目;如需创建企业项目,请参考创建企业项目。
基于项目给用户组授权:
- IAM项目:单击“授权记录”页签下的“授权”,跳转至给用户组授权页面,选择权限“作用范围”为全局服务、指定区域项目、所有资源。
- 企业项目:请进入“企业>项目管理”页面,参考为企业项目添加用户组并授权。
授权主体
授权主体是权限授予的对象,即当前用户组。
主体类型
主体类型可以为用户、用户组和委托。当前页面仅呈现该用户组的授权关系,因此主体类型为用户组。
用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。
管理用户组:您可以在“用户组”页面创建、管理用户组。
