权限管理
如果您需要对云服务平台上创建的云资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制云资源的访问。
通过IAM,您可以在账号中给员工创建IAM用户,并使用策略来控制他们对云资源的访问范围。例如您希望您的部分员工拥有标签管理服务的查看权限,但是不希望他们拥有删除预定义标签等操作的权限,那么您可以使用IAM为员工创建用户,通过授予标签管理服务的只读权限(TMS ReadOnlyAccess),控制员工对TMS的使用范围。
如果账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用标签管理服务的其它功能。
IAM是云服务平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍。
TMS权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
TMS部署时不区分物理区域,为全局级服务。授权时,在全局项目中设置策略,访问TMS时,不需要切换区域。
如表1所示,包括了TMS的所有系统策略和系统角色。由于云服务平台各服务之间存在业务交互关系,标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时,需要同时授予依赖的权限,标签管理服务的权限才能生效。
系统角色/策略名称 |
描述 |
类别 |
依赖关系 |
---|---|---|---|
TMS Administrator |
标签管理服务管理员权限,拥有该服务下的所有权限,包括预定义标签的查询、创建、删除、导入和导出,以及资源标签的增删改查权限。 |
系统角色 |
依赖以下策略:
|
表2列出了TMS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
操作 |
TMS FullAccess |
TMS ReadOnlyAccess |
TMS Administrator |
---|---|---|---|
查询资源列表 |
√(依赖各云服务的查询资源权限) |
√(依赖各云服务的查询资源权限) |
√(依赖Tenant Guest) |
创建标签键 |
√ |
x |
√(依赖Tenant Guest) |
查看资源标签 |
√ |
√ |
√(依赖Tenant Guest) |
创建资源标签 |
√(依赖各云服务的创建标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
修改资源标签 |
√(依赖各云服务的创建、删除、查看标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
删除资源标签 |
√(依赖各云服务的删除标签权限) |
x |
√(依赖Tenant Guest及云资源对应的项目策略,如需要管理VPC的标签,需在同项目中勾选。) |
查询预定义标签 |
√ |
√ |
√ |
创建预定义标签 |
√ |
x |
√ |
删除预定义标签 |
√ |
x |
√ |
导出预定义标签 |
√ |
√ |
√ |
导入预定义标签 |
√ |
x |
√ |
相关文档
- IAM产品介绍
- 创建用户组、用户并授予TMS权限请参考:创建用户并授权使用标签管理服务
- 细粒度策略支持的授权项,请参见《TMS API参考》中的“权限策略与授权项”章节。