角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系,因此给用户组授予角色时,需要将依赖的其他角色一并授予该用户组,保证用户权限生效。具体可参见“用户组及授权 > 依赖角色的授权方法”
角色内容
给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DAS Administrator”为例,说明角色类权限的内容。
参数说明
表参数说明
参数 含义 值 Version 角色的版本 1.0:代表基于角色的访问控制。
1.1:代表基于策略的访问控制。Statement:
角色的授权语句Action:授权项 操作权限 格式为:服务名:资源类型:操作
"DAS:DAS:":表示对DAS服务中DAS资源的所有操作。其中“DAS”为服务名;“DAS”为资源类型;“”为通配符,表示对DAS资源类型可以执行所有操作。Effect:作用 定义Action中的操作权限是否允许执行
Allow:允许执行。
Deny:不允许执行。
说明
当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。Depends:
角色的依赖关系catalog 依赖的角色所属服务 服务名称。例如:BASE、VPC。 display_name 依赖的角色名称 角色名称。
说明
给用户组授予示例的“DAS Administraor”角色时,必须同时勾选该角色依赖的角色“Tenant Guest”,“DNS Administraor”才会生效。