更新时间:2024-06-17 GMT+08:00

角色权限

角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。只包含系统角色,不可自定义角色。

表1 GES系统角色

角色名称

描述

Tenant Guest

普通租户用户。

  • 操作权限:可以对GES资源执行查看操作。
  • 作用范围:项目级服务。

GES Administrator

GES服务管理用户。

  • 操作权限:可以对GES资源执行任意操作。
  • 作用范围:项目级服务。
    说明:

    拥有该权限的用户同时拥有Tenant Guest、Server Administrator、VPC Administrator权限时,可以对GES资源执行任意操作。如果没有Tenant Guest或Server Administrator权限,将无法正常使用GES。

    • 如果需要绑定/解绑EIP,则还需要拥有Security Administrator权限用于创建委托。
    • 如果需要与OBS服务进行交互,例如创建,导入等操作,则还需要拥有OBS服务的权限,具体请参考GES常用操作对OBS权限的依赖关系,OBS权限授权时需要指定权限范围为全局服务资源。

GES Manager

GES服务高级用户。

  • 操作权限:可以对GES资源执行除创建图、删除图、变更规格、扩副本以外的任意操作。
  • 作用范围:项目级服务。
    说明:

    拥有该权限的用户同时拥有Tenant Guest和Server Administrator权限时,可以对GES资源执行除创建图和删除图以外的任意操作。如果没有Tenant Guest权限,将无法正常使用GES。

    • 如果需要绑定/解绑EIP,则还需要拥有Security Administrator和Server Administrator权限。
    • 如果需要与OBS服务进行交互,例如导入操作,则还需要拥有OBS服务的权限,具体请参考GES常用操作对OBS权限的依赖关系,OBS权限授权时需要指定权限范围为全局服务资源。

GES Operator

GES服务普通用户。

  • 操作权限:可以对GES资源执行查看操作和访问图。
  • 作用范围:项目级服务。
说明:
  • 拥有该权限的用户同时拥有Tenant Guest权限时,可以对GES资源执行查看操作和访问图。如果没有Tenant Guest,则无法执行查看类操作或者访问图。
  • 如果需要与OBS服务进行交互,例如查看元数据,则还需要拥有OBS服务的权限,具体请参考表3
表2 GES常用操作与角色的关系

操作

GES Administrator

GES Manager

GES Operator

Tenant Guest

创建图

×

×

×

删除图

×

×

×

查看图

访问图

×

导入数据

×

×

创建元数据

×

×

查看元数据

复制元数据

×

×

编辑元数据

×

×

删除元数据

×

×

清空数据

×

×

备份图

×

×

恢复备份

×

×

删除备份

×

×

查看备份

启动图

×

×

停止图

×

×

升级图

×

×

导出图

×

×

绑定EIP

×

×

解绑EIP

×

×

查看任务中心

变更规格

×

×

×

扩副本图

×

×

×

重启图

×

×

图细粒度权限配置

×

×

用户组配置

×

×

导入IAM用户

×

×

查看用户详情

表3 GES常用操作对OBS权限的依赖关系

GES操作

依赖的OBS权限

查看元数据

OBS Viewer策略或者OBS Buckets Viewer角色

创建/导入/复制/编辑/删除元数据

OBS Operator策略或者Tenant Administrator角色

创建图,导入图/导出图

OBS Operator策略或者Tenant Administrator角色

表4 GES常用操作对IAM权限的依赖关系

GES操作

依赖的IAM权限

导入IAM用户

iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色

创建/编辑用户组

iam:users:listUsers自定义策略或者IAM ReadOnlyAccess系统策略或者Server Administrator角色