权限管理
如果您需要对云服务平台上创建的云资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制云资源的访问。
通过IAM,您可以在账号中给员工创建IAM用户,并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限,但是不希望他们拥有删除预定义标签等操作的权限,那么您可以使用IAM为员工创建用户,通过授予标签管理服务的只读权限(TMS ReadOnlyAccess),控制员工对TMS的使用范围。
如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用标签管理服务的其它功能。
IAM是云服务平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品简介。
TMS权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
TMS部署时不区分物理区域,为全局级服务。授权时,在全局项目中设置策略,访问TMS时,不需要切换区域。
根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对TMS服务,管理员能够控制IAM用户仅能对TMS服务进行指定的操作,如仅给IAM用户授予查看预定义标签的细粒度授权项,那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。多数细粒度策略以API接口为粒度进行权限拆分,TMS支持的API授权项请参见《标签管理服务接口参考》策略及授权项说明章节。
如表1所示,包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系,标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时,需要同时授予依赖的权限,标签管理服务的权限才能生效。
系统角色/策略名称 |
描述 |
类别 |
依赖关系 |
---|---|---|---|
TMS Administrator |
标签管理服务管理员权限,拥有该服务下的所有权限,包括预定义标签的查询、创建、删除、导入和导出,以及资源标签的增删改查权限。 |
系统角色 |
依赖以下策略:
|
表2列出了TMS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
操作 |
TMS FullAccess |
TMS ReadOnlyAccess |
TMS Administrator |
---|---|---|---|
查询资源列表 |
√(依赖各云服务的查询资源权限) |
√(依赖各云服务的查询资源权限) |
√(依赖Tenant Guest) |
创建标签键 |
√ |
x |
√(依赖Tenant Guest) |
查看资源标签 |
√ |
√ |
√(依赖Tenant Guest) |
创建资源标签 |
√(依赖各云服务的创建标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
修改资源标签 |
√(依赖各云服务的创建、删除、查看标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
删除资源标签 |
√(依赖各云服务的删除标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
查询预定义标签 |
√ |
√ |
√ |
创建预定义标签 |
√ |
x |
√ |
删除预定义标签 |
√ |
x |
√ |
导出预定义标签 |
√ |
√ |
√ |
导入预定义标签 |
√ |
x |
√ |
相关文档
- IAM产品简介
- 创建用户组、用户并授予TMS权限请参考:创建用户并授权使用标签管理服务
- 细粒度策略支持的授权项,请参见《TMS API参考》中的“权限策略与授权项”章节。