CFW权限及授权项
如果您需要对您所拥有的CFW进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CFW服务的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
请求峰值TPS大于2000TPS则要求本地鉴权。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
权限 |
授权项 |
|---|---|
创建云防火墙 |
cfw:instance:create |
扩容云防火墙规格 |
cfw:instance:alterSpec |
删除云防火墙 |
cfw:instance:delete |
查询云防火墙 |
cfw:instance:get |
查询云防火墙列表 |
cfw:instance:list |
开启/关闭EIP防护 |
cfw:eip:operate |
查询EIP列表 |
cfw:eip:list |
查询EIP统计数据 |
cfw:eipStatistics:get |
查询策略统计数据 |
cfw:policyStatistics:get |
创建ACL规则 |
cfw:acl:create |
修改ACL规则 |
cfw:acl:put |
删除ACL规则 |
cfw:acl:delete |
查询ACL规则列表 |
cfw:acl:list |
设置ACL规则优先级 |
cfw:acl:setPriority |
创建黑白名单 |
cfw:blackWhite:create |
修改黑白名单 |
cfw:blackWhite:put |
删除黑白名单 |
cfw:blackWhite:delete |
查询黑白名单列表 |
cfw:blackWhite:list |
创建IP地址组 |
cfw:ipGroup:create |
修改IP地址组 |
cfw:ipGroup:put |
删除IP地址组 |
cfw:ipGroup:delete |
查询IP地址组列表 |
cfw:ipGroup:list |
查询IP地址组详情 |
cfw:ipGroup:get |
添加IP地址组成员 |
cfw:ipMember:create |
更新IP地址组成员 |
cfw:ipMember:put |
删除IP地址组成员 |
cfw:ipMember:delete |
查询IP地址组成员列表 |
cfw:ipMember:list |
创建服务组 |
cfw:serviceGroup:create |
修改服务组 |
cfw:serviceGroup:put |
删除服务组 |
cfw:serviceGroup:delete |
查询服务组详情 |
cfw:serviceGroup:get |
查询服务组列表 |
cfw:serviceGroup:list |
添加服务组成员 |
cfw:serviceMember:create |
更新服务组成员 |
cfw:serviceMember:put |
删除服务组成员 |
cfw:serviceMember:delete |
查询服务组成员列表 |
cfw:serviceMember:list |
查询访问控制日志列表 |
cfw:accessControlLog:list |
查询流量日志列表 |
cfw:flowLog:list |
查询攻击日志列表 |
cfw:attackLog:list |
查询流量日志报表 |
cfw:flowLogReport:get |
查询访问控制日志报表 |
cfw:accessControlLogReport:get |
查询访问控制日志报表 |
cfw:attackLogReport:get |
基础防御开启 |
cfw:ips:start |
基础防御关闭 |
cfw:ips:stop |
基础防御状态查询 |
cfw:ipsStatus:get |
IPS防护模式设置 |
cfw:ipsMode:operate |
IPS防护模式查询 |
cfw:ipsMode:get |
创建抓包任务 |
cfw:captureTask:create |
查询抓包任务列表 |
cfw:captureTask:list |
批量删除抓包任务 |
cfw:captureTask:delete |
停止抓包任务 |
cfw:captureTask:stop |
下载抓包结果 |
cfw:captureTask:getResult |
查询云防火墙实例资源 |
cfw:resource:list |
