更新时间:2024-01-04 GMT+08:00
分享

权限管理

如果您需要对CSE的资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务Identity and Access Management,简称IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制云资源的访问。

通过IAM,您可以在公有云账号中给员工创建IAM用户,并使用策略来控制员工对云资源的访问范围。例如,您希望您的员工中负责软件开发的人员拥有CSE的使用权限,但是不希望其拥有删除等高危操作的权限。那么您可以使用IAM为开发人员创建用户,通过授予仅能使用CSE,但是不允许删除的权限策略,控制其对CSE资源的使用范围。

如果公有云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CSE服务的其它功能。

IAM是公有云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》

CSE权限

默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。

CSE资源通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CSE时,需要先切换至授权区域。

根据授权精细程度分为角色和策略。

  • 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。

表1所示,包括了CSE的所有系统权限。

表1 CSE系统权限说明

系统角色/策略名称

描述

类别

依赖关系

CSE FullAccess

微服务引擎服务管理员权限。

系统策略

CSE ReadOnlyAccess

微服务引擎服务查看权限。

系统策略

如果表1所列权限不满足实际需求,可以在这个基础上创建微服务引擎自定义策略

更多CSE相关功能需要依赖的服务权限,请参见表2所示。

表2 依赖的服务权限

依赖的服务

权限

VPC

VPC ReadOnlyAccess

ELB

ELB ReadOnlyAccess

AOM

AOM ReadOnlyAccess

TMS

TMS ReadOnlyAccess

表3列出了微服务引擎常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。

表3 常用操作与系统权限之间的关系

操作

CSE ReadOnlyAccess

CSE FullAccess

创建微服务引擎

x

维护微服务引擎

x

查询微服务引擎

删除微服务引擎

x

创建微服务

x

查询微服务

维护微服务

x

删除微服务

x

创建微服务配置

x

查询微服务配置

编辑微服务配置

x

删除微服务配置

x

创建微服务治理策略

x

查询微服务治理策略

编辑微服务治理策略

x

删除微服务治理策略

x

使用自定义细粒度策略,请使用管理员用户进入统一身份认证(IAM)服务,按需选择微服务引擎的细粒度权限进行授权操作。微服务引擎细粒度权限依赖说明请参见表4

表4 微服务引擎细粒度权限依赖说明

权限名称

权限描述

权限依赖

应用场景

cse:engine:list

列出所有引擎

  • 查看ServiceComb引擎列表。
  • 查看Nacos引擎列表。
  • 查看应用网关列表。

cse:engine:get

查看引擎信息

  • cse:engine:list
  • elb:loadbalancers:list
  • elb:listeners:list
  • elb:loadbalancers:get
  • elb:listeners:get
  • 查看ServiceComb引擎详情。
  • 查看Nacos引擎详情。
  • 查看应用网关详情。
说明:

只有应用网关需要依赖elb相关权限。

cse:engine:modify

修改引擎

  • cse:engine:list
  • cse:engine:get
  • ServiceComb引擎开启/关闭公网访问操作。
  • ServiceComb引擎开启/管理安全认证操作。
  • ServiceComb引擎失败任务重试操作。
  • Nacos引擎开启/关闭安全认证。
  • 管理Nacos权限用户与角色控制。
  • 管理命名空间与企业项目关系。
  • 应用网关管理路由、域名、服务、服务来源、自定义认证鉴权、证书、黑白名单。

cse:engine:upgrade

升级引擎

  • cse:engine:list
  • cse:engine:get
  • 升级ServiceComb引擎
  • 升级Nacos引擎引擎。
  • 升级应用网关。

升级的操作包括:版本升级操作、规格变更操作。

cse:engine:delete

删除引擎

  • cse:engine:list
  • cse:engine:get
  • vpc:ports:get
  • vpc:ports:delete
  • 删除ServiceComb引擎。
  • 删除Nacos引擎。
  • 删除应用网关。

cse:engine:create

创建引擎

  • cse:engine:get
  • cse:engine:list
  • ecs:cloudServerFlavors:get
  • vpc:vpcs:get
  • vpc:vpcs:list
  • vpc:subnets:get
  • vpc:ports:get
  • vpc:ports:create
  • elb:loadbalancers:list
  • elb:listeners:list
  • elb:loadbalancers:get
  • elb:listeners:get
  • 创建ServiceComb引擎。
  • ServiceComb引擎备份/恢复任务创建操作。
  • 创建Nacos引擎。
  • 创建应用网关。
说明:

只有应用网关需要依赖elb相关权限。

cse:config:modify

ServiceComb引擎服务配置管理修改

  • cse:engine:list
  • cse:engine:get
  • cse:config:get

ServiceComb引擎全局配置功能与治理功能涉及的配置修改。

cse:config:get

ServiceComb引擎服务配置管理查看

  • cse:engine:list
  • cse:engine:get

ServiceComb引擎查看服务的配置。

cse:governance:modify

ServiceComb引擎服务治理中心修改

  • cse:engine:list
  • cse:engine:get
  • cse:config:get
  • cse:config:modify
  • cse:registry:get
  • cse:registry:modify
  • cse:governance:get

创建与修改ServiceComb引擎服务治理。

cse:governance:get

ServiceComb引擎服务治理中心查看

  • cse:engine:list
  • cse:engine:get
  • cse:config:get
  • cse:registry:get

查看ServiceComb引擎服务治理功能。

cse:registry:modify

ServiceComb引擎服务注册管理修改

  • cse:engine:list
  • cse:engine:get
  • cse:registry:get

ServiceComb引擎服务修改。

cse:registry:get

ServiceComb引擎服务注册管理查看

  • cse:engine:list
  • cse:engine:get

ServiceComb引擎服务目录查看。

cse:namespace:read

Nacos引擎命名空间资源查看

cse:engine:get

Nacos服务列表、配置列表资源查看。

cse:namespace:write

Nacos引擎命名空间资源修改

  • cse:engine:get
  • cse:namespace:read

Nacos服务列表、配置列表资源修改。

创建“计费模式”“包年/包月”的ServiceComb引擎专享版或Nacos引擎专享版时:
  • 创建订单不支付,创建该引擎的用户需拥有“BSS Operator”权限。
  • 创建订单并支付,创建该引擎的用户需拥有“BSS Administrator”权限。
分享:

    相关文档

    相关产品