IAM新旧控制台功能差异说明
IAM新版控制台相比旧版控制台提供更精细化和更灵活的权限管控能力,同时删除部分功能,更聚焦于提升IAM访问控制的业务能力。以下按照IAM控制台功能模块划分,细化新旧版本控制台功能的区别。
用户
|
功能模块 |
对比项 |
旧版控制台 |
新版控制台 |
|---|---|---|---|
|
创建用户 |
批量创建 |
支持 |
不支持 |
|
设置用户信息 |
用户名、描述、手机号、邮箱、外部身份源ID、设置访问方式、支持欢迎邮件设置密码、支持设置登录保护 |
仅用户名和描述即可 |
|
|
创建方式 |
直接创建IAM用户 |
推荐创建IAM身份中心用户,也可以创建IAM用户 |
|
|
授权方式 |
通过加入用户组授权 |
通过加入用户组授权或直接为用户附件身份策略授权 |
|
|
用户管理 |
批量删除 |
支持 |
支持 |
|
批量编辑 |
支持(状态、访问方式、验证方式、登录密码、手机、邮箱) |
支持(状态、登录密码) |
|
|
导出用户详细信息 |
支持(支持导出全部用户信息) |
支持(支持导出全部或选中的部分用户信息) |
|
|
修改用户信息 |
仅用户状态和描述 |
支持修改用户名、状态和描述 |
|
|
给用户添加标签 |
不支持 |
支持 |
|
|
访问方式 |
支持修改“访问方式”为“编程访问或管理控制台访问”限制用户的访问方式 |
通过启用或关闭“管理控制台访问”限制能否访问控制台,通过是否为用户创建AKSK限制能否通过编程访问调用API |
|
|
安全设置 |
登录凭证 |
重置登录密码、删除密码、最近一次修改密码时间 |
禁用控制台访问权限(删除密码)、重置密码、密码更新时间、密码过期时间、最近一次登录时间 |
|
多因素认证设备 |
虚拟MFA、安全密钥 |
虚拟MFA、安全密钥 |
|
|
登录保护 |
支持 |
不支持 |
用户组
新版控制台基本无变化,仅搜索能力变化和增强。在用户组列表页面支持根据用户组名称、描述和创建时间过滤用户组。
策略与授权
新版控制台支持更多的访问控制条件键、更加细粒度的权限管控能力。
|
对比项 |
旧版控制台 |
新版控制台 |
|---|---|---|
|
导航 |
权限管理包含授权管理和权限 |
仅身份策略 |
|
授权方式 |
支持IAM授权和企业项目授权 |
仅支持IAM授权,可以使用Condition条件键g:EnterpriseProjectId控制企业项目的授权范围。 |
|
能力 |
仅能在用户组和委托界面使用策略授权。开通企业项目后支持为用户直接进行策略授权,授权范围为指定企业项目 |
可以在策略界面直接将身份策略附加至IAM身份(用户、用户组、委托、信任委托)或从IAM身份分离 |
|
授权对象 |
仅支持为用户组、委托绑定系统策略、系统角色和自定义策略进行授权。开通企业项目后支持为用户直接进行系统策略、自定义策略授权,授权范围为指定企业项目 |
支持为用户、用户组、委托、信任委托授予系统身份策略和自定义身份策略 |
如下策略基于源IP拒绝对华为云的访问。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"Action": [
"*:*:*"
],
"Condition": {
"NotIpAddress": {
"g:SourceIp": [
"192.0.2.0/24",
"10.27.128.0/24"
]
}
}
}]
}
如下策略仅允许用户名为TestUser开头的IAM用户查询企业路由实例详情。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["er:instances:get"],
"Resource": ["*"],
"Condition": {
"StringMatch": {
"g:UserName": [
"TestUser*"
]
}
}
}
]
}
项目
新版控制台不再支持“项目”功能,可以使用Condition条件键g:ProjectId控制项目的授权范围,配置示例如下所示。如果仍然希望在统一身份认证控制台中使用该功能,可以前往旧版控制台使用。
如下策略仅允许在 IAM 项目10a6c23c2a1044779794798beb067c94下创建虚拟私有云。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["vpc:vpcs:create"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"g:ProjectId": "10a6c23c2a1044779794798beb067c94"
}
}
}
]
}
如下策略仅允许查询IAM项目10a6c23c2a1044779794798beb067c94下的云服务器详情。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["ecs:cloudServers:showServer"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"g:ProjectId": "10a6c23c2a1044779794798beb067c94"
}
}
}
]
}
委托
|
功能模块 |
对比项 |
旧版控制台 |
新版控制台 |
|---|---|---|---|
|
委托列表 |
查看委托列表 |
仅能查看老控制台创建的委托 |
可以查看老控制台创建的委托,及新控制台创建的信任委托 |
|
创建委托 |
创建委托 |
创建的委托不支持设置信任策略 |
创建的信任委托支持设置信任策略 |
|
创建账号委托 |
输入账号名 |
输入账号ID |
|
|
委托时长表述 |
持续时间 |
最大会话持续时长 |
|
|
更多选项 |
无 |
外部ID、启用MFA |
|
|
编辑方式 |
无 |
信任策略 |
|
|
授权范围设置 |
配置策略并设置授权范围 |
无,创建完成后单独授权 |
|
|
委托详情 |
基本信息 |
显示委托类型和账号名 |
仅显示URN |
|
授权计数 |
有 |
无 |
身份提供商
新版控制台不再支持“身份提供商”功能,建议使用IAM身份中心的外部身份源功能。如果仍然希望在统一身份认证控制台中使用该功能,可以前往旧版控制台使用。
安全设置
新版控制台变化如下:
- 不再支持设置登录密码、手机号、邮箱。
- 不再支持敏感操作保护。
- 不再提供访问控制选项,合入登录验证策略页面,建议权限配置中condition条件键限制访问来源的IP。
我的凭证
新版控制台新增“登录凭证”和“多因素认证设备”功能。您可以使用“登录凭证”功能管理当前已登录控制台身份的密码,查看密码过期时间和上次修改密码时间。使用“多因素认证设备”功能,包括添加和解绑设备(包括虚拟MFA和安全密钥)。如果您是华为账号,请前往华为账号的账号与安全界面绑定华为账号的虚拟MFA,可以用于华为账号登录时的身份验证和华为账号的操作保护。
