权限管理
ESM权限
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
权限根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,ESM支持的API授权项请参见ESM策略及授权项说明。
如表1所示为ESM的所有系统策略。
授权项说明
ESM当前所支持的系统策略操作与API相对应,授权项内容请参见表2。授权项列表说明如下:
- 权限:允许或拒绝对指定资源在特定条件下进行某项操作。
- 授权项:系统策略中支持的Action。
所属策略 |
权限 |
授权项(Action) |
|---|---|---|
ESM FullAccess |
HCSO局点管理 |
esm:hcso:get esm:hcso:list esm:hcso:update |
HCSO租户管理 |
esm:hcsoTenant:create esm:hcsoTenant:delete esm:hcsoTenant:get esm:hcsoTenant:list esm:hcsoTenant:update esm:hcsoTenantOwnerUser:create esm:hcsoTenantOwnerUser:update |
|
HCSO project查询 |
esm:hcsoProject:list |
|
配额管理权限 |
esm:hcsoQuota:get esm:hcsoQuota:update |
|
可视化查看 |
esm:hcsoDashboard:use |
|
告警通知管理 |
esm:hcsoDashboard:create esm:hcsoDashboard:get esm:hcsoDashboard:delete esm:hcsoDashboard:update esm:hcsoDashboard:list |
|
ESM ReadOnlyAccess |
HCSO局点只读 |
esm:hcso:get esm:hcso:list |
HCSO租户只读 |
esm:hcsoTenant:get esm:hcsoTenant:list |
|
HCSO project查询 |
esm:hcsoProject:list |
|
配额只读 |
esm:hcsoQuota:get |
|
可视化查看 |
esm:hcsoDashboard:use |
|
告警通知只读 |
esm:hcsoDashboard:get esm:hcsoDashboard:list |
