更新时间:2025-04-18 GMT+08:00
如何查看授权关系
授权管理为您呈现账号中所有授权关系,您可以使用“策略名”、“用户名/用户组名/委托名”、“项目区域”、“主体类型”为条件筛选指定授权关系。
- 策略名:权限的名称。如选择过滤条件为“策略名”,输入指定权限名称,查看指定权限的授权记录。
- 用户名/用户组名/委托名:IAM用户、用户组、委托的名称。如选择过滤条件为“用户名”,输入指定IAM用户名称,查看该IAM用户拥有的权限。IAM的最小授权单位为用户组,查看指定IAM用户授权记录时,将显示该IAM用户所属用户组的授权记录。
- 项目区域:IAM项目、企业项目的名称。如选择过滤条件为“项目区域”,输入指定IAM项目或企业项目的名称,查看基于该项目授权的授权关系。
- 主体类型:授权对象类型,支持用户、用户组和委托三种。如选择过滤条件为“主体类型”,输入用户组,查看用户组
下面为您详细介绍授权管理页面各项参数。
权限
权限根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。
您可以在“权限管理>权限”页面创建自定义策略并查看系统角色、系统策略、自定义策略。
项目
区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。
除IAM项目外,您可以使用企业项目,企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。关于企业项目特性的详细信息,请参见《企业管理服务用户指南》。
您可以在“项目”页面创建子项目,并查看所有默认区域项目、子项目;如需创建企业项目,请参考创建企业项目。
授权主体
授权主体是权限授予的对象,即当用户组。
主体类型
主体类型可以为用户、用户组和委托。
- 用户:由管理员在IAM中创建的用户。IAM用户可以使用账号名、IAM用户名和密码登录华为云,并根据权限使用所属账号中的资源。IAM不拥有资源,不进行独立的计费,IAM用户的权限和资源由所属账号统一控制和付费。
- 用户组:用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。
- 委托:委托根据委托对象的不同,分为账号委托和云服务委托。
- 账号委托:通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他华为云账号,被委托的账号可以根据权限代替您进行资源运维工作。
- 云服务委托:由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
您可以在“委托”页面创建、管理账号委托和云服务委托。
