按云服务粒度给用户授权
用户账号下有多种云服务资源,并且这些资源在CES都有监控数据上报时,可以为不同类型、不同级别的业务操作人员提供不同的云服务管理权限,以达到便于管理的目的。
当前用户的业务场景细分较多,不同的云服务可能是不同的责任人进行运维看护,此时,需要针对不同的云服务资源给相关责任人以云服务粒度进行授权来进行权限管控。
本章节介绍如何按云服务粒度为用户进行授权。
约束与限制
仅新版IAM支持。
创建自定义身份策略
- 管理员使用主账户登录管理控制台。
- 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。
- 在统一身份认证服务,单击页面右上角“体验新版控制台”。
- 左侧导航窗格中,单击“身份策略”。
- 在“身份策略”页面,单击右上角“创建自定义身份策略”按钮,进入“创建自定义身份策略”页面。
- 在“创建自定义身份策略”页面,输入策略名称,策略配置方式选择“可视化视图”并配置策略内容:
- 配置除ces:widgets:put外的操作权限操作步骤如下:
- 策略内容选择“允许”。
- 在操作页面选择支持云服务粒度授权的操作,具体操作请参考支持按云服务粒度授权的操作,可以选择除ces:widgets:put之外的所有操作。
- 单击所有资源,默认选择“所有资源”。
- 单击“请求条件(可选)”。
- 单击“添加条件”按钮,在“添加请求条件”页面配置参数,配置完成后点击“确定”。表1以授权OBS、ECS和EVS服务为例,介绍如何配置参数,若需要授权其他云服务,修改“值”即可:
表1 配置请求条件 参数
说明
参数取值
条件键
条件键表示策略语句的Condition元素中的键值。
ces:namespace
限定词
支持选择默认,请求中的任何值和请求中的所有值。
请求中的任何值
运算符
与条件键、条件值一起使用,构成完整的条件判断语句。
StringEquals
值
与条件键、运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。
条件值为需要授权的云服务的命名空间。若需配置多个云服务,请点击添加按钮,并在输入框中输入待授权云服务的命名空间。
注意:ECS与BMS服务部分监控数据依赖Agent插件,所以在授权ECS服务时需要同时配置SYS.ECS和AGT.ECS,BMS服务需要同时配置SYS.ECS和SERVICE.BMS。
SYS.OBS
SYS.ECS
AGT.ECS
SYS.EVS
图1 配置权限一策略内容
- 如果还需要配置ces:widgets:put操作权限,则在策略内容下方单击“添加权限”按钮,并按照以下操作步骤新增权限:
- 策略内容选择“允许”。
- 在操作页面搜索并选择“ces:widgets:put”操作。
- 单击所有资源,默认选择“所有资源”。
- 单击“请求条件(可选)”。
- 单击“添加条件”按钮,在“添加请求条件”页面,按照表1配置参数,并勾选“运算符”参数后的“如果存在”复选框。
- 在“添加请求条件”页面,单击“确定”,完成添加请求条件。
图2 配置权限二策略内容
- 配置除ces:widgets:put外的操作权限操作步骤如下:
- 在“创建自定义身份策略”页面,单击页面右下角“确定”按钮,完成创建自定义身份策略。
授权用户组/用户
完成创建自定义身份策略后,即可为用户或者用户组进行授权。如果需要对某个用户组下所有用户进行授权,则需要对用户组进行授权。如果需要对某个用户组下单个用户进行授权,则需要给IAM用户授权。完成授权后,使用授权用户登录云监控服务控制台,验证是否只支持对授权的云服务进行操作,支持按云服务粒度授权的操作请参见支持按云服务粒度授权的操作。
完成创建自定义身份策略后,即可为用户或者用户组进行授权。如果需要对某个用户组下所有用户进行授权,则需要对用户组进行授权。
- 在新版统一身份认证服务左侧导航栏中单击“用户组”,进入“用户组”页面。
- 在“用户组”页面单击待授权用户组所在行“操作”列的“授权”按钮,进入“授权”页面。
- 在“选择身份策略”页面,搜索并选择系统身份策略“CESServiceFullAccessWithoutNamespacePolicy”和已创建的自定义身份策略。
- 身份策略选择完成后,单击“确定”,在弹出的“权限生效时间提醒”窗口中单击“知道了”按钮。
- 在“完成”页面可以查看授权结果,点击授权列表下方“完成”按钮,完成授权。
用户组完成授权后,该用户组下所有的用户均可获得相应的权限。如果需要对某个用户权限进行变更,可以给已授权的用户组中添加或者移除用户,操作步骤请参见用户组添加/移除用户。
除了对用户组授权之外,统一身份认证服务还支持对用户组下单个用户进行授权。
- 在新版统一身份认证服务左侧导航栏中单击“用户”,进入“用户”页面。
- 在“用户”页面单击待授权用户所在行“操作”列的“授权”按钮,进入“授权”页面。
- 在“权限配置”页面,“选择配置方式”选择“按身份策略配置”,“选择身份策略”参数搜索并选择系统身份策略“CESServiceFullAccessWithoutNamespacePolicy”和已创建的自定义身份策略。
- 身份策略选择完成后,单击“确定”,在弹出的“权限生效时间提醒”窗口中单击“知道了”按钮。
- 在“完成”页面可以查看授权结果,点击授权列表下方“完成”按钮,完成授权。
支持按云服务粒度授权的操作
如表2所示为云监控服务支持按云服务粒度授权的操作及使用场景,用户可以根据实际使用场景进行选择。
|
操作名称 |
使用场景 |
说明 |
|---|---|---|
|
ces:alarms:create |
创建告警规则 |
|
|
ces:widgets:create |
添加监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
ces:dashboard:listCloudServiceResources |
查看云服务监控详情 |
-- |
|
ces:dashboard:listServiceResourcesStatistics |
查看云服务监控详情 |
-- |
|
ces:metaData:get |
查看云服务监控详情(旧版) |
-- |
|
ces:metrics:listKeyMetrics |
总览 |
-- |
|
ces:namespacesDimensions:get |
创建自定义监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
创建资源分组 |
仅当资源添加方式选择“手动选择”时支持按照云服务鉴权。 |
|
|
创建告警规则 |
|
|
|
导出云服务监控数据 |
-- |
|
|
ces:namespacesDimensions:list |
总览 |
-- |
|
添加自定义监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
|
查看自定义监控看板 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
|
创建资源分组 |
仅当资源添加方式选择“手动选择”时支持按照云服务鉴权。 |
|
|
创建/修改告警规则 |
|
|
|
主机监控 |
-- |
|
|
查看云服务监控详情 |
-- |
|
|
导出云服务监控数据 |
-- |
|
|
ces:namespacesDimensions:listInstances |
添加/配置自定义监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
创建/修改资源分组 |
仅当资源添加方式选择“手动选择”时支持按照云服务鉴权。 |
|
|
导出云服务监控数据 |
-- |
|
|
创建/修改告警规则 |
|
|
|
ces:resourcesMetadata:list |
查看自定义监控看板详情 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
添加/配置自定义监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
|
|
查看云服务监控详情 |
-- |
|
|
查看云服务监控列表 |
-- |
|
|
创建/修改资源分组 |
仅当资源添加方式选择“手动选择”时支持按照云服务鉴权。 |
|
|
ces:resourcesConsole:list |
查看主机监控列表 |
-- |
|
ces:monitorOverview:listServiceResources |
查看资源分组中资源详情列表 |
仅当资源添加方式选择“手动选择”时支持按照云服务鉴权。 |
|
ces:widgets:put |
配置自定义监控视图 |
仅当监控范围选择“指定资源”时支持按照云服务鉴权。 |
