权限管理
如果您需要对华为云上创建的云原生应用网络(ANC)资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。如果华为账号已经能满足您的要求,不需要通过IAM对用户进行权限管理,您可以跳过本章节,不影响您使用ANC服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
通过IAM,您可以通过授权控制使用人员对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望员工拥有ANC的使用权限,但是不希望员工拥有删除ANC等高危操作的权限,那么您可以使用IAM进行权限分配,通过授予用户仅能使用ANC,但是不允许删除ANC的权限,控制员工对ANC资源的使用范围。
|
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
|---|---|---|---|---|
|
身份策略授权 |
用户-策略 |
|
|
核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建云原生应用网络ANC的权限,在基于身份策略授权的场景中,管理员仅需要创建一个自定义身份策略,在策略中通过条件键“g:CurrentTime”的配置即可达到身份策略对于ANC的控制。
关于IAM的详细介绍,请参见IAM产品介绍。
身份策略权限管理
ANC服务支持身份策略授权。如表2所示,包括了ANC身份策略中的所有系统身份策略。身份策略授权场景的系统身份策略与角色与策略授权场景的并不互通。
|
系统身份策略名称 |
描述 |
策略类别 |
|---|---|---|
|
ANCFullAccessPolicy |
ANC服务所有权限 |
系统身份策略 |
|
ANCReadOnlyAccessPolicy |
ANC服务只读权限 |
系统身份策略 |
表3列出了ANC常用操作与系统身份策略的授权关系,您可以参照该表选择合适的系统身份策略。
|
操作 |
ANCFullAccessPolicy |
ANCReadOnlyAccessPolicy |
|---|---|---|
|
创建云原生应用网络 |
√ |
x |
|
查询云原生应用网络列表 |
√ |
√ |
|
查询云原生应用网络详情 |
√ |
√ |
|
更新云原生应用网络 |
√ |
x |
|
删除云原生应用网络 |
√ |
x |
|
关联云原生应用网络到服务 |
√ |
x |
|
创建成员组 |
√ |
x |
|
查询成员组列表 |
√ |
√ |
|
查询成员组详情 |
√ |
√ |
|
更新成员组 |
√ |
x |
|
删除成员组 |
√ |
x |
|
注册成员 |
√ |
x |
|
注销成员 |
√ |
x |
|
查询成员列表 |
√ |
√ |
|
为成员组添加健康检查 |
√ |
x |
|
为成员组删除健康检查 |
√ |
x |
|
创建服务 |
√ |
x |
|
查询服务列表 |
√ |
√ |
|
查询服务详情 |
√ |
√ |
|
更新服务 |
√ |
x |
|
删除服务 |
√ |
x |
|
查询服务概要 |
√ |
√ |
|
接受服务关联 |
√ |
x |
|
拒绝服务关联 |
√ |
x |
|
创建健康检查 |
√ |
x |
|
查询健康检查列表 |
√ |
√ |
|
查询健康检查详情 |
√ |
√ |
|
更新健康检查 |
√ |
x |
|
删除健康检查 |
√ |
x |
|
创建服务关联 |
√ |
x |
|
查询服务关联列表 |
√ |
√ |
|
查询服务关联详情 |
√ |
√ |
|
删除服务关联 |
√ |
x |
|
创建客户端关联 |
√ |
x |
|
查询客户端关联列表 |
√ |
√ |
|
查询客户端关联详情 |
√ |
√ |
|
更新客户端关联 |
√ |
x |
|
删除客户端关联 |
√ |
x |
|
根据标签查询资源列表 |
√ |
√ |
|
创建标签 |
√ |
x |
|
删除标签 |
√ |
x |
|
查询指定资源标签 |
√ |
√ |
|
获取标签列表 |
√ |
√ |
|
查询资源配额 |
√ |
√ |
