云监控服务 CES云监控服务 CES

更新时间:2021/07/27 GMT+08:00
分享

权限管理

如果您需要对华为云上的云监控服务资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务Identity and Access Management,简称IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。

通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有云监控服务的使用权限,但是不希望他们拥有删除ECS等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用云监控服务,但是不允许删除其他云服务资源的权限策略,控制他们对其他云服务资源的使用范围。

如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用云监控服务的其它功能。

IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见什么是IAM

云监控服务权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。

Cloud Eye部署时通过物理区域划分,为项目级服务,需要在各区域(如华北-北京1)对应的项目(cn-north-1)中设置策略,并且该策略仅对此项目生效,如果需要所有区域都生效,则需要在所有项目都设置策略。访问Cloud Eye时,需要先切换至授权区域。

根据授权精程度分为角色和策略。

  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,云监控服务支持的API授权项请参见策略及授权项说明

表1所示,包括了云监控服务的所有系统策略。其中,“依赖关系”是指该系统策略对其它策略的依赖。由于华为云各服务之间存在业务交互关系,云监控服务的策略依赖其他服务的策略实现功能。因此给用户云监控服务的权限时,需要同时授予依赖的权限,云监控服务的权限才能生效。

表1 云监控服务系统策略

策略名称

描述

依赖关系

策略类别

CES Administrator

云监控服务的管理员权限。

依赖Tenant Guest策略和Server Administrator策略。

Tenant Guest:全局级策略,在全局项目中勾选。

系统策略

CES FullAccess

云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务

系统策略

CES ReadOnlyAccess

云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持细粒度授权特性,才可以正常使用,支持细粒度授权的云服务列表请参考: 使用IAM授权的云服务

系统策略

表2列出了云监控服务常用操作与系统策略的授权关系,您可以参照该表选择合适的系统策略。

表2 操作与系统策略的关系

功能

操作

CES Administrator

(需同时添加Tenant Guest策略)

Tenant Guest

CES FullAccess

CES ReadOnlyAccess

监控概览

查看监控概览

查看监控大屏

监控面板

创建监控面板

×

×

查看监控大屏

查看监控面板

删除监控面板

×

×

添加监控视图

×

×

查看监控视图

修改监控视图

×

×

删除监控视图

×

×

调整监控视图位置

×

×

资源分组

创建资源分组

×

×

查看资源分组列表

查看资源分组(资源概览)

查看资源分组(不健康资源)

查看资源分组(告警规则)

查看资源分组(告警历史)

修改资源分组

×

×

删除资源分组

×

×

告警规则

创建告警规则

×

×

修改告警规则

×

×

启用告警规则

×

×

停用告警规则

×

×

删除告警规则

×

×

查看告警规则列表

查看告警规则详情

查看监控图表

告警历史

查看告警历史

告警模板

查看默认告警模板

查看自定义告警模板

创建自定义告警模板

×

×

修改自定义告警模板

×

×

删除自定义告警模板

×

×

一键告警

开启一键告警

×

×

查看一键告警

修改一键告警

×

×

关闭一键告警

×

×

主机监控

查看主机列表

查看主机监控指标

安装Agent

√(需同时拥有ECS FullAccess权限)

×

√(需同时拥有ECS FullAccess权限)

×

修复插件配置

√(需同时拥有Security Administrator、ECS FullAccess 权限)

×

√(需同时拥有Security Administrator、ECS FullAccess 权限)

×

卸载Agent

√(需同时拥有ECS FullAccess权限)

×

√(需同时拥有ECS FullAccess权限)

×

配置进程监控

×

×

配置自定义进程监控

×

×

云服务监控

查看云服务列表

√(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务

√(涉及云服务需要支持细粒度授权特性,参考:使用IAM授权的云服务

查看云服务监控指标

站点监控

创建站点监控

√(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限)

×

√(站点监控部署在华北-北京一,若在其他Region使用站点监控功能,需同时添加华北-北京一的权限)

×

查看站点监控列表

查看站点监控详情

修改站点监控

×

×

启用站点监控

×

×

停用站点监控

×

×

删除站点监控

×

×

自定义监控

添加自定义监控数据

×

×

查看自定义监控列表

查看自定义监控数据

事件监控

添加自定义事件

×

×

查看事件列表

查看事件详情

日志监控

自定义指标过滤配置

√(需同时拥有LTS FullAccess权限)

×

√(需同时拥有LTS FullAccess权限)

×

查看日志监控列表

查看日志监控详情

数据转储到DMS Kafka

创建数据转储任务

×

×

查询数据转储任务列表

查询指定数据转储任务

修改数据转储任务

×

×

启动数据转储任务

×

×

停止数据转储任务

×

×

删除数据转储任务

×

×

其他

配置数据转储

√(需同时拥有Tenant Administrator权限)

×

√(需同时拥有OBS Bucket Viewer权限)

×

导出监控数据

×

×

发送告警通知

×

×

相关链接

分享:

    相关文档

    相关产品