服务的访问控制
IAM身份认证
弹性云服务器支持通过IAM进行精细的权限管理,实现用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制资源的访问。
您可以在账号中创建IAM用户,并授权控制他们对资源的访问范围。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。
- 权限管理简介,请参见ECS权限管理。
- 授权使用ECS,请参见创建用户并授权使用ECS。
- 自定义策略,请参见ECS自定义策略。
- 策略及授权项详情,请参见策略及授权项说明。
项目与企业项目
弹性云服务器支持通过项目及企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。
- 企业项目
企业管理中的企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。
- 项目和企业项目的区别
- IAM项目
IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中的资源不能转移,只能删除后重建。
- 企业项目
企业项目是IAM项目的升级版,是针对企业不同项目间资源的分组和管理。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。如果您开通了企业管理,将不能创建新的IAM项目(只能管理已有项目)。未来IAM项目将逐渐被企业项目所替代,推荐使用更为灵活的企业项目。
项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。
关于如何创建项目、企业项目,以及如何授权,请参阅管理项目和企业项目。
- IAM项目
访问控制
- 虚拟私有云
虚拟私有云(Virtual Private Cloud,以下简称VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。
- 安全组
安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。
如何设置虚拟私有云和安全组,请参见自定义购买ECS。
敏感操作保护
弹性云服务器支持敏感操作保护,在控制台进行敏感操作时,需要输入一种能证明身份的凭证,身份验证通过后方可进行相关操作。为了账号安全,建议开启操作保护功能,该功能对账号以及账号下的用户都生效。
敏感操作保护的更多内容,请参见敏感操作保护。