权限管理
如果您需要对华为云上购买的分布式缓存服务(Distributed Cache Service,简称DCS)资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。如果华为云账号已经能满足您的要求,不需要通过IAM对用户进行权限管理,您可以跳过本章节,不影响您使用DCS服务的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
通过IAM,您可以通过授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有DCS的使用权限,但是不希望他们拥有删除DCS等高危操作的权限,那么您可以使用IAM进行权限分配,通过授予用户仅能使用DCS,但是不允许删除DCS的权限,控制他们对DCS资源的使用范围。
目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
名称 | 核心关系 | 涉及的权限 | 授权方式 | 适用场景 |
|---|---|---|---|---|
角色与策略授权 | 用户-权限-授权范围 |
| 为主体授予角色或策略 | 核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 |
身份策略授权 | 用户-策略 |
|
| 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建区域A的ECS和区域B的OBS的权限,基于角色授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于策略授权的场景中,管理员仅需要创建一个自定义策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将策略附加主体或为主体授予该策略即可获得相应权限,权限配置方式更细粒度更灵活。
两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。角色与策略权限管理和身份策略权限管理分别介绍两种模型的系统权限。
关于IAM的详细介绍,请参见IAM产品介绍。
角色与策略权限管理
DCS服务支持角色与策略授权。默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
DCS部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问DCS时,需要先切换至授权区域。
如表2所示,包括了DCS的所有系统权限。角色与策略授权场景的系统策略和身份策略授权场景的并不互通。
系统角色/策略名称 | 描述 | 类别 | 依赖关系 |
|---|---|---|---|
DCS FullAccess | 分布式缓存服务所有权限,拥有该权限的用户可以操作所有分布式缓存服务的功能。 | 系统策略 | 购买包周期实例需要配置授权项: bss:order:update bss:order:pay 购买企业版实例需要配置如下授权项:iam:permissions:listRolesForAgencyOnProject iam:agencies:listAgenciesiam:roles:listRoles iam:permissions:grantRoleToAgencyOnProject iam:agencies:createAgency iam:agencies:deleteAgency |
DCS UserAccess | 分布式缓存服务普通用户权限(无实例创建、修改、删除、扩容和缩容的权限)。 | 系统策略 | 无 |
DCS ReadOnlyAccess | 分布式缓存服务的只读权限,拥有该权限的用户仅能查看分布式缓存服务数据。 | 系统策略 | 无 |
DCS Administrator | 分布式缓存服务管理员权限,拥有该权限的用户可以操作所有分布式缓存服务的功能。 | 系统角色 | 依赖Server Administrator和Tenant Guest角色,在同项目中勾选依赖的角色。 |
DCS AgencyAccess | 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限,用于租户委托DCS服务对租户资源做以下相关操作: 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 | 系统策略 | 无 |
表3列出了DCS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
操作 | DCS FullAccess | DCS UserAccess | DCS ReadOnlyAccess | DCS Administrator |
|---|---|---|---|---|
修改实例配置参数 | √ | √ | × | √ |
删除实例后台任务 | √ | √ | × | √ |
Web CLI | √ | √ | × | √ |
修改实例运行状态 | √ | √ | × | √ |
缓存实例扩容 | √ | × | × | √ |
修改实例访问密码 | √ | √ | × | √ |
修改缓存实例 | √ | × | × | √ |
实例主备倒换 | √ | √ | × | √ |
备份实例数据 | √ | √ | × | √ |
分析实例的大key或者热key | √ | √ | × | √ |
创建缓存实例 | √ | × | × | √ |
删除实例数据备份文件 | √ | √ | × | √ |
恢复实例数据 | √ | √ | × | √ |
重置实例访问密码 | √ | √ | × | √ |
迁移实例数据 | √ | √ | × | √ |
下载备份实例数据 | √ | √ | × | √ |
删除缓存实例 | √ | × | × | √ |
查询实例配置参数 | √ | √ | √ | √ |
查询实例数据恢复日志 | √ | √ | √ | √ |
查询实例数据备份日志 | √ | √ | √ | √ |
查询缓存实例信息 | √ | √ | √ | √ |
查询实例后台任务 | √ | √ | √ | √ |
查询实例列表 | √ | √ | √ | √ |
操作慢查询 | √ | √ | √ | √ |
身份策略权限管理
DCS服务支持身份策略授权。如表4所示,包括了DCS身份策略中的所有系统身份策略。身份策略授权场景的系统身份策略和角色与策略授权场景的并不互通。
系统身份策略名称 | 描述 | 策略类别 |
|---|---|---|
DCSServiceLinkedAgencyPolicy | 分布式缓存服务实例故障迁移需要的委托权限。不涉及其他操作权限。 | 系统身份策略 |
DCSReadOnlyAccessPolicy | 分布式缓存服务只读权限。 | 系统身份策略 |
DCSUserAccessPolicy | 分布式缓存服务普通用户权限(无实例创建、修改、删除、扩缩容)。 | 系统身份策略 |
DCSFullAccessPolicy | 分布式缓存服务所有权限。 | 系统身份策略 |
表5列出了DCS常用操作与系统身份策略的授权关系,您可以参照该表选择合适的系统身份策略。
操作 | DCSReadOnlyAccessPolicy | DCSUserAccessPolicy | DCSFullAccessPolicy |
|---|---|---|---|
修改实例配置参数 | × | √ | √ |
删除实例后台任务 | × | √ | √ |
Web CLI | × | √ | √ |
修改实例运行状态 | × | √ | √ |
缓存实例扩容 | × | × | √ |
修改实例访问密码 | × | √ | √ |
修改缓存实例 | × | × | √ |
实例主备倒换 | × | √ | √ |
备份实例数据 | × | √ | √ |
分析实例的大key或者热key | × | √ | √ |
创建缓存实例 | × | × | √ |
删除实例数据备份文件 | × | √ | √ |
恢复实例数据 | × | √ | √ |
重置实例访问密码 | × | √ | √ |
迁移实例数据 | × | √ | √ |
下载备份实例数据 | × | √ | √ |
删除缓存实例 | × | × | √ |
查询实例配置参数 | √ | √ | √ |
查询实例数据恢复日志 | √ | √ | √ |
查询实例数据备份日志 | √ | √ | √ |
查询缓存实例信息 | √ | √ | √ |
查询实例后台任务 | √ | √ | √ |
查询实例列表 | √ | √ | √ |
操作慢查询 | √ | √ | √ |
