在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个IAM用户并为其授予不同的权限,实现不同IAM子用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对云硬盘备份VBS资源的访问。
操作步骤如下:
第1步:创建IAM子用户
具体操作,请参见统一身份认证IAM-创建用户。
第2步:创建自定义策略
天翼云提供了访问云硬盘备份VBS资源的系统策略,更多信息,请参见“统一身份认证IAM-权限管理”。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见统一身份认证IAM-创建自定义策略。
策略分为用户可以自行定义的自定义策略,以及预定义在平台录入的系统策略两类。
细粒度授权策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。
- 策略版本号:Version,标识策略结构的版本号。目前为1.1。
- 策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。
- 作用(Effect)包含两种:允许(Allow)和拒绝(Deny)。
- 授权项(Action)是对资源的具体操作权限,支持单个或多个操作权限。
a)脚本配置策略示例一:为IAM子用户配置云硬盘备份查看者权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vbs: backupStrategy: list",
"vbs: repository: list",
"vbs: repository: get",
"vbs: backup: list",
"vbs: backupStrategy: get",
"vbs: job: list"
],
"Effect": "Allow"
}
]
}
b)脚本配置策略示例二:为IAM子用户配置云硬盘备份所有操作权限。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"vbs: repository: create",
"vbs: backupStrategy: list",
"vbs: repository: update",
"vbs: repository: delete",
"vbs: backup: create",
"vbs: repository: list",
"vbs: repository: get",
"vbs: backup: list",
"vbs: repository: set",
"vbs: backupStrategy: binding",
"vbs: backup: restore",
"vbs: backup: delete",
"vbs: backupStrategy: create",
"vbs: backupStrategy: set",
"vbs: backupStrategy: enable",
"vbs: backupStrategy: pause",
"vbs: backupStrategy: unbinding",
"vbs: backupStrategy: delete",
"vbs: backupStrategy: get",
],
"Effect": "Allow"
}
]
}
第3步:授权自定义策略
授予IAM用户访问所创建的自定义策略范围中的资源,具体操作,请参见统一身份认证IAM-用户组授权、统一身份认证IAM-基于企业项目完成授权。
第4步:授权系统策略
您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。