权限管理
如果您需要对华为云上购买的云监控服务资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。如果华为账号已经能满足您的要求,不需要通过IAM对用户进行权限管理,您可以跳过本章节,不影响您使用云监控服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
通过IAM,您可以通过授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有云监控服务的使用权限,但是不希望他们拥有删除其他云服务资源等高危操作的权限,那么您可以使用IAM进行权限分配,通过授予仅能使用云监控服务,但是不允许删除其他云服务资源的权限策略,控制他们对其他云服务资源的使用范围。
目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
名称 | 核心关系 | 涉及的权限 | 授权方式 | 适用场景 |
|---|---|---|---|---|
角色与策略授权 | 用户-权限-授权范围 |
| 为主体授予角色或策略 | 核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 |
身份策略授权 | 用户-策略 |
|
| 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。角色与策略权限管理和身份策略权限管理分别介绍两种模型的系统权限。
关于IAM的详细介绍,请参见IAM产品介绍。
角色与策略权限管理
云监控服务支持角色与策略授权。默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
云监控服务部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问云监控服务时,需要先切换至授权区域。
如表2所示,包括了云监控服务的所有系统权限。角色与策略授权场景的系统策略和身份策略授权场景的并不互通。
系统角色/策略名称 | 描述 | 类别 | 依赖关系 |
|---|---|---|---|
CES FullAccessPolicy | 云监控服务的全部权限,拥有该权限可以操作云监控服务的全部权限。 | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 告警通知:依赖SMN服务的SMN FullAccess。 配置数据转储:依赖OBS服务的OBS OperateAccess。 |
CES ReadOnlyAccessPolicy | 云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 |
CES AgentAccess | CES Agent正常运行所需的必要权限。 说明: 为了保证CES Agent能够正常提供服务,需要配置委托,详细操作请参见如何配置委托? | 系统策略 | 无。 |
CES SiteMonitor FullAccess | 云监控服务站点监控所有权限。 | 系统策略 | 无。 |
CES SiteMonitor ReadOnlyAccess | 云监控服务站点监控只读权限。 | 系统策略 | 无。 |
CES Administrator | 云监控服务的管理员权限。 | 系统角色 | 依赖Tenant Guest策略。 Tenant Guest:全局级策略,在全局项目中勾选。 |
CES FullAccess | 云监控服务的全部权限,拥有该权限可以操作云监控服务的全部权限。 说明: CES FullAccess不满足权限最小化原则,后续不推荐使用,建议使用CES FullAccessPolicy | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 告警通知:依赖SMN服务的SMN FullAccess。 配置数据转储:依赖OBS服务的OBS OperateAccess。 |
CES ReadOnlyAccess | 云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。 说明: CES ReadOnlyAccess不满足权限最小化原则,后续不推荐使用,建议使用CES ReadOnlyAccessPolicy | 系统策略 | 云服务监控功能涉及需要查询其他云服务的实例资源,该策略中已包含部分云服务的资源查询权限,如在使用中遇到权限问题,需要配置涉及服务的细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务。 |
表3列出了云监控服务常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限(“√”表示支持,“×”表示不支持)。
功能 | 操作 | CES FullAccessPolicy | CES ReadOnlyAccessPolicy | CES SiteMonitor FullAccess | CES SiteMonitor ReadOnlyAccess | CES Administrator (需同时添加Tenant Guest策略) | Tenant Guest |
|---|---|---|---|---|---|---|---|
总览 | 查看总览 | √ | √ | × | × | √ | √ |
监控大盘 | 创建监控大盘 | √ | × | × | × | √ | × |
查看监控大盘 | √ | √ | × | × | √ | √ | |
查看监控大屏 | √ | √ | × | × | √ | √ | |
添加监控视图 | √ | × | × | × | √ | × | |
查看监控视图 | √ | √ | × | × | √ | √ | |
修改监控视图 | √ | × | × | × | √ | × | |
删除监控视图 | √ | × | × | × | √ | × | |
调整监控视图位置 | √ | × | × | × | √ | × | |
删除监控大盘 | √ | × | × | × | √ | × | |
我的看板 | 创建我的看板 | √ | × | × | × | √ | × |
查看监控大屏 | √ | √ | × | × | √ | √ | |
查看我的看板 | √ | √ | × | × | √ | √ | |
删除我的看板 | √ | × | × | × | √ | × | |
复制我的看板 | √ | × | × | × | √ | × | |
添加监控视图 | √ | × | × | × | √ | × | |
查看监控视图 | √ | √ | × | × | √ | √ | |
修改监控视图 | √ | × | × | × | √ | × | |
删除监控视图 | √ | × | × | × | √ | × | |
调整监控视图位置 | √ | × | × | × | √ | × | |
资源分组 | 创建资源分组 | √ | × | × | × | √ | × |
查看资源分组列表 | √ | √ | × | × | √ | √ | |
查看资源分组(资源概览) | √ | √ | × | × | √ | √ | |
查看资源分组(告警规则) | √ | √ | × | × | √ | √ | |
修改资源分组 | √ | × | × | × | √ | × | |
删除资源分组 | √ | × | × | × | √ | × | |
告警规则 | 创建告警规则 | √ | × | × | × | √ | × |
复制告警规则 | √ | × | × | × | √ | × | |
修改告警规则 | √ | × | × | × | √ | × | |
启用告警规则 | √ | × | × | × | √ | × | |
停用告警规则 | √ | × | × | × | √ | × | |
删除告警规则 | √ | × | × | × | √ | × | |
导出告警规则 | √ | √ | × | × | √ | × | |
查看告警规则列表 | √ | √ | × | × | √ | √ | |
查看告警规则详情 | √ | √ | × | × | √ | √ | |
告警记录 | 查看告警记录 | √ | √ | × | × | √ | √ |
查看监控详情 | √ | √ | × | × | √ | √ | |
导出告警记录 | √ | × | × | × | √ | × | |
屏蔽告警 | √ | × | × | × | √ | × | |
手动恢复告警记录 | √ | × | × | × | √ | × | |
告警模板 | 查看默认告警/事件模板 | √ | √ | × | × | √ | √ |
查看自定义告警/事件模板 | √ | √ | × | × | √ | √ | |
创建自定义告警/事件模板 | √ | × | × | × | √ | × | |
修改自定义告警/事件模板 | √ | × | × | × | √ | × | |
复制告警/事件模板 | √ | × | × | × | √ | × | |
导入自定义告警/事件模板 | √ | × | × | × | √ | × | |
导出自定义告警/事件模板 | √ | × | × | × | √ | √ | |
删除自定义告警/事件模板 | √ | × | × | × | √ | × | |
一键告警 | 开启一键告警 | √ | × | × | × | √ | × |
查看一键告警 | √ | √ | × | × | √ | √ | |
修改一键告警 | √ | × | × | × | √ | × | |
关闭一键告警 | √ | × | × | × | √ | × | |
主机监控 | 查看主机列表 | √ | √ | × | × | √ | √ |
查看主机监控指标 | √ | √ | × | × | √ | √ | |
安装Agent | √(需同时拥有ECS FullAccess权限) | × | × | × | √(需同时拥有ECS FullAccess权限) | × | |
一键配置 | √(需同时拥有Security Administrator、ECS FullAccess权限) | × | × | × | √(需同时拥有Security Administrator、ECS FullAccess权限) | × | |
卸载Agent | √(需同时拥有ECS FullAccess权限) | × | × | × | √(需同时拥有ECS FullAccess权限) | × | |
配置进程监控 | √ | × | × | × | √ | × | |
配置自定义进程监控 | √ | × | × | × | √ | × | |
云服务监控 | 查看云服务列表 | √(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务) | √(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务) | × | × | √ | √ |
查看云服务监控指标 | √ | √ | × | × | √ | √ | |
站点监控 | 创建站点监控 | √(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限) | × | √ | × | √(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限) | × |
查看站点监控列表 | √ | √ | √ | √ | √ | √ | |
查看站点监控详情 | √ | √ | √ | √ | √ | √ | |
修改站点监控 | √ | × | √ | × | √ | × | |
启用站点监控 | √ | × | √ | × | √ | × | |
停用站点监控 | √ | × | √ | × | √ | × | |
删除站点监控 | √ | × | √ | × | √ | × | |
自定义监控 | 添加自定义监控数据 | √ | × | × | × | √ | × |
查看自定义监控列表 | √ | √ | × | × | √ | √ | |
查看自定义监控数据 | √ | √ | × | × | √ | √ | |
事件监控 | 添加自定义事件 | √ | × | × | × | √ | × |
查看事件列表 | √ | √ | × | × | √ | √ | |
查看事件详情 | √ | √ | × | × | √ | √ | |
数据转储到DMS Kafka | 创建数据转储任务 | √ | × | × | × | √ | × |
查询数据转储任务列表 | √ | √ | × | × | √ | √ | |
查询指定数据转储任务 | √ | √ | × | × | √ | √ | |
修改数据转储任务 | √ | × | × | × | √ | × | |
启动数据转储任务 | √ | × | × | × | √ | × | |
停止数据转储任务 | √ | × | × | × | √ | × | |
删除数据转储任务 | √ | × | × | × | √ | × | |
其他 | 配置数据转储 | √(需同时拥有OBS Bucket Viewer权限) | × | × | × | √(需同时拥有Tenant Administrator权限) | × |
导出监控数据 | √ | √ | × | × | √ | × | |
任务中心 | 查看导出任务 | √ | √ | × | × | √ | √ |
下载导出结果 | √ | × | × | × | √ | × | |
删除导出任务 | √ | × | × | × | √ | × |
云监控控制台功能依赖的角色或策略
如果IAM用户需要在云监控服务控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CES Administrator、CES FullAccessPolicy或CES ReadOnlyAccessPolicy策略的集群权限,再按如下表4增加依赖服务的角色或策略。
表6列出了云监控服务常用操作与系统身份策略的授权关系,您可以参照该表选择合适的系统身份策略(“√”表示支持,“×”表示不支持)。
功能 | 操作 | CESServiceReadOnlyPolicy | CESServiceFullAccessPolicy |
|---|---|---|---|
监控概览 | 查看资源监控 | √ | √ |
监控大盘 | 创建监控大盘 | × | √ |
查看监控大盘 | √ | √ | |
查看监控大屏 | √ | √ | |
添加监控视图 | × | √ | |
查看监控视图 | √ | √ | |
修改监控视图 | × | √ | |
删除监控视图 | × | √ | |
调整监控视图位置 | √ | √ | |
删除监控大盘 | × | √ | |
我的看板 | 创建我的看板 | × | √ |
查看监控大屏 | √ | √ | |
查看我的看板 | √ | √ | |
删除我的看板 | × | √ | |
添加监控视图 | × | √ | |
查看监控视图 | √ | √ | |
修改监控视图 | × | √ | |
删除监控视图 | × | √ | |
调整监控视图位置 | √ | √ | |
资源分组 | 创建资源分组 | × | √ |
查看资源分组列表 | √ | √ | |
查看资源分组(资源概览) | √ | √ | |
查看资源分组(告警规则) | √ | √ | |
修改资源分组 | × | √ | |
删除资源分组 | × | √ | |
告警规则 | 创建告警规则 | × | √ |
修改告警规则 | × | √ | |
启用告警规则 | × | √ | |
停用告警规则 | × | √ | |
删除告警规则 | × | √ | |
导出告警规则 | √ | √ | |
查看告警规则列表 | √ | √ | |
查看告警规则详情 | √ | √ | |
查看监控图表 | √ | √ | |
告警记录 | 查看告警记录 | √ | √ |
查看监控详情 | √ | √ | |
屏蔽告警 | × | √ | |
手动恢复告警记录 | × | √ | |
告警模板 | 查看默认告警模板 | √ | √ |
查看自定义告警模板 | √ | √ | |
创建自定义告警模板 | × | √ | |
修改自定义告警模板 | × | √ | |
删除自定义告警模板 | × | √ | |
一键告警 | 开启一键告警 | × | √ |
查看一键告警 | √ | √ | |
修改一键告警 | × | √ | |
关闭一键告警 | × | √ | |
告警通知策略 | 创建通知策略 | × | √ |
修改通知策略 | × | √ | |
删除通知策略 | × | √ | |
查看通知策略 | √ | √ | |
通知组 | 创建通知组 | × | √ |
添加/移除通知对象 | × | √ | |
删除通知组 | × | √ | |
查看通知组 | √ | √ | |
通知对象 | 创建通知对象 | × | √ |
修改通知对象 | × | √ | |
删除通知对象 | × | √ | |
查看通知对象 | √ | √ | |
通知内容模板 | 创建通知内容模板 | × | √ |
修改通知内容模板 | × | √ | |
删除通知内容模板 | × | √ | |
查看通知内容模板 | √ | √ | |
主机监控 | 查看主机列表 | √ | √ |
查看主机监控指标 | √ | √ | |
安装Agent | × | √ | |
一键配置委托 | × | √ | |
卸载Agent | × | √ | |
配置进程监控 | × | √ | |
配置自定义进程监控 | × | √ | |
云服务监控 | 查看云服务列表 | √ | √ |
查看云服务监控指标 | √ | √ | |
站点监控 | 创建站点监控 | × | √ |
查看站点监控列表 | √ | √ | |
查看站点监控详情 | √ | √ | |
修改站点监控 | × | √ | |
启用站点监控 | × | √ | |
停用站点监控 | × | √ | |
删除站点监控 | × | √ | |
自定义监控 | 添加自定义监控数据 | × | √ |
查看自定义监控列表 | √ | √ | |
查看自定义监控数据 | √ | √ | |
事件监控 | 添加自定义事件 | × | √ |
查看事件列表 | √ | √ | |
查看事件详情 | √ | √ | |
数据转储 | 创建数据转储任务 | × | √ |
查询数据转储任务列表 | √ | √ | |
查询指定数据转储任务 | √ | √ | |
修改数据转储任务 | × | √ | |
启动数据转储任务 | × | √ | |
停止数据转储任务 | × | √ | |
删除数据转储任务 | × | √ | |
其他 | 配置数据转储 | × | √ |
导出监控数据 | × | √ | |
发送告警通知 | × | √ |
相关链接
- IAM产品介绍
- 通过IAM进行授权请参见通过IAM授予使用云监控服务的权限。
- 身份策略授权参见身份策略授权参考。
