权限管理
如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制员工对华为云资源的访问范围。例如您希望部分员工拥有配置资源记录器的权限,那么您可以使用IAM为员工创建用户,通过授予配置资源记录器的权限策略,控制员工对配置审计服务的使用范围。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用配置审计服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
Config权限
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
Config部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问Config时,不需要切换区域。
具有Config服务只读权限的用户具有查看“资源清单”页面的权限,可以查看用户账号下的全部资源,不需要用户具有相应云服务的只读权限。
根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),Config支持的API授权项请参见《配置审计API参考》中的“权限策略及授权项说明”章节。
如表1 Config系统权限所示,包括了Config的所有系统权限。
|
系统策略名称 |
描述 |
依赖关系 |
|---|---|---|
|
RMS ConsoleFullAccess |
配置审计服务控制台使用所有权限,包含查看资源,以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看和操作权限。 |
RF FullAccess |
|
RMS FullAccess |
配置审计服务所有权限,包含查看资源,以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看和操作权限。 |
RF FullAccess |
|
RMS ReadOnlyAccess |
配置审计服务只读权限,包含查看资源,以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看权限。 |
无 |
当添加了RMS ConsoleFullAccess权限的IAM用户或IAM身份中心用户在控制台对资源记录器、合规规则和合规规则包进行操作时仍提示没有操作权限,是因为相关功能需要特定权限的IAM委托,因此需要您单独添加操作IAM委托的权限。具体详情如下:
您在对资源记录器、合规规则和合规规则包进行操作时会提示需要创建委托并添加相应权限,创建委托需要您先添加iam:agencies:createAgency(创建委托),iam:permissions:grantRoleToAgency(为委托授予指定权限)权限,其中iam:permissions:grantRoleToAgency需根据不同的操作授予指定权限。
表2列出了Config常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。“√”表示支持,“×”表示暂不支持。
|
操作 |
RMS ConsoleFullAccess |
RMS FullAccess |
RMS ReadOnlyAccess |
|---|---|---|---|
|
查看所有资源列表 |
√ |
√ |
√ |
|
查看单个资源详情 |
√ |
√ |
√ |
|
筛选资源 |
√ |
√ |
√ |
|
导出资源列表 |
√ |
√ |
√ |
|
查看资源合规 |
√ |
√ |
√ |
|
查看资源关系 |
√ |
√ |
√ |
|
查看资源历史 |
√ |
√ |
√ |
|
查看资源记录器 |
√ |
√ |
√ |
|
开启/配置/修改资源记录器 |
√ |
√ |
x |
|
关闭资源记录器 |
√ |
√ |
x |
|
查看合规策略定义 |
√ |
√ |
√ |
|
更新合规规则 |
√ |
√ |
x |
|
创建合规规则 |
√ |
√ |
x |
|
查看合规规则 |
√ |
√ |
√ |
|
删除合规规则 |
√ |
√ |
x |
|
创建组织合规规则 |
√ |
√ |
x |
|
修改组织合规规则 |
√ |
√ |
x |
|
查看组织合规规则 |
√ |
√ |
√ |
|
删除组织合规规则 |
√ |
√ |
x |
|
查看合规规则结果 |
√ |
√ |
√ |
|
触发合规规则评估 |
√ |
√ |
x |
|
更新合规评估结果 |
√ |
√ |
x |
|
创建合规修正配置 |
√ |
√ |
x |
|
查看合规修正配置 |
√ |
√ |
√ |
|
修改合规修正配置 |
√ |
√ |
x |
|
删除合规修正配置 |
√ |
√ |
x |
|
查看合规修正执行状态 |
√ |
√ |
√ |
|
执行合规修正 |
√ |
√ |
x |
|
添加合规修正例外 |
√ |
√ |
x |
|
删除合规修正例外 |
√ |
√ |
x |
|
查看合规修正例外列表 |
√ |
√ |
√ |
|
运行高级查询 |
√ |
√ |
x |
|
新建高级查询 |
√ |
√ |
x |
|
查看高级查询 |
√ |
√ |
√ |
|
列举高级查询 |
√ |
√ |
√ |
|
更新高级查询 |
√ |
√ |
x |
|
删除高级查询 |
√ |
√ |
x |
|
创建资源聚合器 |
√ |
√ |
x |
|
查看资源聚合器 |
√ |
√ |
√ |
|
修改资源聚合器 |
√ |
√ |
x |
|
删除资源聚合器 |
√ |
√ |
x |
|
查看聚合的合规规则 |
√ |
√ |
√ |
|
查看聚合的资源 |
√ |
√ |
√ |
|
授权资源聚合器账号 |
√ |
√ |
x |
|
删除资源聚合器账号授权 |
√ |
√ |
x |
|
删除资源聚合器的待授权请求 |
√ |
√ |
x |
|
查看资源聚合器的待授权列表 |
√ |
√ |
√ |
|
运行资源聚合器高级查询 |
√ |
√ |
x |
|
查看授权列表 |
√ |
√ |
√ |
|
创建合规规则包 |
√(依赖RF FullAccess) |
√(依赖RF FullAccess) |
x |
|
查看合规规则包 |
√ |
√ |
√ |
|
列举合规规则包 |
√ |
√ |
√ |
|
删除合规规则包 |
√(依赖RF FullAccess) |
√(依赖RF FullAccess) |
x |
|
更新合规规则包 |
√(依赖RF FullAccess) |
√(依赖RF FullAccess) |
x |
|
列举合规规则包示例模板 |
√ |
√ |
√ |
|
创建组织合规规则包 |
√ |
√ |
x |
|
查看组织合规规则包 |
√ |
√ |
√ |
|
列举组织合规规则包 |
√ |
√ |
√ |
|
删除组织合规规则包 |
√ |
√ |
x |
|
更新组织合规规则包 |
√ |
√ |
x |
