基于IAM进行权限管理
如果您需要为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用IAM进行精细的权限管理。IAM提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对资源的访问范围。例如您的员工中有负责进行项目规划的人员,您希望他们拥有IAM的查看权限,但是不希望他们拥有删除IAM用户等高危操作的权限,那么您可以使用IAM为项目规划人员创建IAM用户,通过授予仅能查看IAM,但是不允许在IAM中执行删除操作的权限。IAM服务支持的所有服务系统权限请参见:系统身份策略。
IAM权限
如表1所示,包括了IAM的所有系统身份策略。
|
系统身份策略名称 |
描述 |
策略类别 |
|---|---|---|
|
IAMFullAccessPolicy |
统一身份认证服务的所有权限。 |
系统身份策略 |
|
IAMReadOnlyPolicy |
统一身份认证服务的只读访问权限。 |
系统身份策略 |
表2列出了IAM常用操作与系统身份策略的授权关系,您可以参照该表选择合适的系统身份策略。
|
操作 |
IAMFullAccessPolicy |
IAMReadOnlyPolicy |
|---|---|---|
|
创建IAM用户 |
√ |
× |
|
查询IAM用户详情 |
√ |
√ |
|
修改IAM用户信息 |
√ |
× |
|
查询IAM用户安全设置 |
√ |
√ |
|
修改IAM用户安全设置 |
√ |
× |
|
删除IAM用户 |
√ |
× |
|
创建用户组 |
√ |
× |
|
查询用户组详情 |
√ |
√ |
|
修改用户组信息 |
√ |
× |
|
添加用户到用户组 |
√ |
× |
|
从用户组移除用户 |
√ |
× |
|
删除用户组 |
√ |
× |
|
为用户组授权 |
√ |
× |
|
移除用户组权限 |
√ |
× |
|
创建自定义身份策略 |
√ |
× |
|
修改自定义身份策略 |
√ |
× |
|
删除自定义身份策略 |
√ |
× |
|
查询权限详情 |
√ |
√ |
|
创建信任委托 |
√ |
× |
|
查询信任委托 |
√ |
√ |
|
修改信任委托 |
√ |
× |
|
切换角色 |
√ |
× |
|
删除信任委托 |
√ |
× |
|
为信任委托授权 |
√ |
× |
|
移除信任委托权限 |
√ |
× |
|
查询配额 |
√ |
√ |
若当前IAM用户要对其他IAM用户的访问密钥进行管理,则可以参考表3为当前IAM用户选择合适的系统权限。例如IAM用户A要为IAM用户B创建访问密钥,则IAM用户A需要拥有FullAccess权限。
IAMFullAccessPolicy策略内容
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:*:*"
]
}
]
}
IAMReadOnlyPolicy策略内容
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:*:get*",
"iam:*:list*",
"iam:*:check*",
"iam:*:show*"
]
}
]
}
