更新时间:2024-11-26 GMT+08:00

权限和授权项说明

如果您需要对您所拥有的AOM进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用AOM服务的其它功能。

通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云资源的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。

两者有如下的区别和关系:

表1 两类授权的区别

名称

核心关系

涉及的权限

授权方式

适用场景

角色与策略授权

用户-权限-授权范围

  • 系统角色
  • 系统策略
  • 自定义策略

为主体授予角色或策略

核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。

身份策略授权

用户-策略

  • 系统身份策略
  • 自定义身份策略
  • 为主体授予身份策略
  • 身份策略附加至主体

核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。

例如:如果需要对IAM用户授予可以创建华北-北京四区域的ECS和华南-广州区域的OBS的权限,基于角色与策略授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于身份策略授权的场景中,管理员仅需要创建一个自定义策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将身份策略附加主体或为主体授予该身份策略即可获得相应权限,权限配置方式更细粒度更灵活。

两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。

账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。

例如,用户要调用接口来查询指标,那么在基于角色与策略授权的场景中,这个IAM用户被授予的策略中必须包含允许“aom:metric:get”的授权项,该接口才能调用成功。在基于身份策略授权的场景中,这个IAM用户被授予的权限中包含“aom:metric:list”的授权项,该接口才能调用成功。