权限管理介绍
- 此处的权限管理是指通过使用统一身份认证服务(Identity and Access Management,简称IAM)控制云服务和资源的访问权限。
- 云应用属于区域级项目,您可以创建多个IAM用户组,并授予其不同项目的云应用管理员权限,控制用户对云应用资源的访问范围。
- 如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用云应用服务。
相关概念
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
帐号
当您首次使用华为云时注册的帐号,该帐号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。帐号统一接收所有IAM用户进行资源操作时产生的费用账单。
帐号不能在IAM中修改和删除,您可以在帐号中心修改帐号信息,如果您需要删除帐号,可以在帐号中心进行注销。
IAM用户
由帐号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据帐号授予的权限使用资源。IAM用户不进行独立的计费,由所属账户统一付费。
用户组
用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。
“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
企业项目权限说明
关于企业项目权限的详细介绍,请参见《EPS产品介绍》。
云应用服务管理员权限
权限根据授权的精细程度,分为策略和角色。云应用服务使用角色授予IAM用户管理员权限。云应用与云桌面使用同一个项目,则共用同一份用户名单,当给云应用的用户组授权时,云桌面同样会有对应的权限。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云应用管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对云应用资源进行操作。
如表1所示,包括了云应用的所有系统权限。表2包括了云应用所需的额外权限,其中“依赖关系”表示云应用的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云应用的角色依赖其他服务的角色实现功能。因此给用户组授予云应用的权限时,请勿取消已勾选的其他依赖权限,否则云应用的权限将无法生效。
系统权限 |
描述 |
说明 |
|---|---|---|
Workspace FullAccess |
云应用服务所有权限 |
云应用服务所有权限。 |
Workspace AppManager |
云应用服务应用管理员权限 |
创建、删除、操作云应用及其他相关如上网、定时任务、等的所有操作。 |
Workspace UserManager |
云应用服务用户管理员权限 |
创建用户、删除用户、重置密码等用户管理操作。 |
Workspace SecurityManager |
云应用服务安全管理员权限 |
策略管理、用户连接记录等的所有跟安全相关的功能操作。 |
Workspace TenantManager |
云应用服务租户配置管理员权限 |
租户配置的所有功能。 |
Workspace ReadOnlyAccess |
云应用服务只读权限 |
云应用服务只读权限。 |
以下操作需要添加额外的权限如表2所示。
操作类型 |
依赖的系统角色、策略或自定义策略 |
说明 |
|---|---|---|
BSS相关权限:包周期相关操作,如购买、变更、按需转包周期等;总览页面查询待续费应用数量时需要查看续费信息管理权限。 |
系统角色:BSS Administrator 自定义策略添加以下action: bss:discount:view bss:order:update bss:order:view bss:order:pay bss:renewal:view |
系统角色与自定义策略二选一即可。 |
IAM相关权限:定时任务,创建与查询委托时需要的权限。 |
创建与查询委托依赖权限: 系统角色:Security Administrator 自定义策略添加以下action: iam:roles:getRole iam:roles:listRoles iam:agencies:getAgency iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToAgencyOnProject 仅需要查询委托依赖权限: 系统策略:IAM ReadOnlyAccess 自定义策略添加以下action: iam:agencies:getAgency iam:agencies:listAgencies iam:permissions:listRolesForAgencyOnProject |
创建委托时:系统角色Security Administrator与自定义策略二选一即可。 仅查询委托时:系统策略IAM ReadOnlyAccess与自定义策略二选一即可。 |
TMS相关权限:创建应用时,要查询预定义标签则需要该权限。 |
系统策略:TMS FullAccess 自定义策略添加以下action: tms:predefineTags:list |
系统策略与自定义策略二选一即可。 |
VPCEP相关权限:开通/关闭云专线接入时需要该权限 |
系统角色:VPCEndpoint Administrator |
VPCEP服务暂不支持企业项目细粒度鉴权。 |
VPC相关权限:创建应用及应用相关操作、开通小规模应用上网(企业项目细粒度鉴权时需要) |
IAM项目级的权限 系统策略:VPC ReadOnlyAccess 系统角色:VPC Administrator |
需要拥有开通云应用服务所使用的VPC所在企业项目的VPC权限。 |
IMS相关权限:创建镜像时需要该权限(企业项目细粒度鉴权时需要) |
自定义策略添加以下action: ims:images:get ims:images:share |
IMS服务暂不支持企业项目细粒度鉴权。 |
