权限说明

如果您需要对华为云上购买的IEF资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。

通过IAM，您可以在华为云账号中给员工创建IAM用户，并授权控制这些用户对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些用户拥有IEF的使用权限，但是不希望拥有删除IEF等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用IEF，但是不允许删除IEF的权限，控制这些用户对IEF资源的使用范围。

如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用IEF服务的其他功能。

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。

IEF权限

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

IEF部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问IEF时，需要先切换至授权区域。

权限根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。具有Tenant Administrator系统角色的用户可以操作IEF所有资源。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分。

如表1所示，包括了IEF的所有系统权限。

表1 IEF系统权限
系统角色/策略名称	描述	类别	依赖关系
IEF FullAccess	IEF管理员权限，拥有该权限的用户可以操作并使用IEF的基本资源。注意：如需操作IEF所有资源，请配置Tenant Administrator系统角色。	系统策略	无
IEF ReadOnlyAccess	IEF只读权限，拥有该权限的用户仅能查看IEF资源。	系统策略	无

表2列出了IEF常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表2 常用操作与系统权限的关系
操作	IEF FullAccess	IEF ReadOnlyAccess	Tenant Administrator
创建/删除/修改服务实例	√	x	√
查看服务实例	√	√	√
切换实例	√	√	√
创建/删除/修改边缘节点	√	x	√
查看边缘节点	√	√	√
创建/删除/修改边缘节点组	√	x	√
查看边缘节点组	√	√	√
创建/删除/修改边缘容器应用	√	x	√
查看边缘容器应用	√	√	√
创建/删除/修改设备	√	x	√
查看设备	√	√	√
创建/删除/修改应用部署	√	x	√
查看应用部署	√	√	√
创建/删除/修改应用模板	√	x	√
查看应用模板	√	√	√
创建/删除/修改节点注册作业	√	x	√
查看节点注册作业	√	√	√
创建/删除/修改消息端点	√	x	√
查看消息端点	√	√	√
创建/删除/修改消息路由	√	x	√
查看消息路由	√	√	√
创建/删除/修改批量作业	√	x	√
查看批量作业	√	√	√
创建/删除/修改配置项	√	x	√
查看配置项	√	√	√
创建/删除/修改密钥	√	x	√
查看密钥	√	√	√
创建/删除/修改加密数据	√	x	√
查看加密数据	√	√	√
创建/删除/修改系统订阅	√	x	√
查看系统订阅	√	√	√
创建/删除/修改插件	√	x	√
查看插件	√	√	√

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

权限说明

IEF权限

相关链接

意见反馈

文档内容是否对您有帮助？