统一身份认证IAM介绍

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。

IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。

身份管理

访问控制IAM中的身份包括IAM用户、IAM用户组。

IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。

权限管理

统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。

权限策略分为系统策略和自定义策略:

系统策略 ：预置的系统策略，您只能使用不能修改。虚拟私有云相关的系统策略包含如下：

vpc admin：虚拟私有云服务的管理者权限，包含虚拟私有云服务所有控制权限（不含订单类权限）；

vpc viewer: 虚拟私有云服务的观察者权限，包含虚拟私有云服务的列表页与详情页面权限；

自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“自定义策略“。

虚拟私有云接口对应权限表

如下是虚拟私有云服务相关权限三元组及生效范围：

控制台接口 权限三元组 配置支持
IAM（资源池/全局） 企业项目（资源组）
VPC VPC 创建VPC vpc vpcs create √ √
vpc subnets create √ √
vpc vpcs list √ √
VPC列表获取 vpc vpcs list √ √
VPC详情获取 vpc vpcs get √ √
删除 vpc vpcs delete √ √
修改 vpc vpcs update √ √
子网 创建子网 创建子网 vpc subnets create √ √
VPC列表获取 vpc vpcs list √ √
子网列表 子网列表获取 vpc subnets list √ √
子网详情 子网详情获取 vpc subnets get √ √
云主机列表获取 ecs cloudServers list √ √
云主机详情获取 ecs cloudServers get √ √
物理机列表获取 dps physicalserver list √ √
虚拟IP列表获取 vpc vips list √ √
ACL列表获取 vpc firewallPolicies list √ √
ACL详情获取 vpc firewallPolicies get √ √
路由列表获取 vpc route list √ √
路由详情获取 vpc route get √ √
修改子网 vpc subnets update √ √
删除子网 vpc subnets delete √ √
弹性网卡 创建弹性网卡 创建弹性网卡 vpc cloudServerNics create √ ×
子网列表获取 vpc subnets list √ ×
安全组列表获取 vpc securityGroups list √ ×
VPC列表获取 vpc vpcs list √ ×
弹性网卡列表获取 vpc cloudServerNics list √ ×
弹性网卡详情获取 vpc cloudServerNics get √ ×
绑定弹性网卡 ecs cloudServerNics binding √ ×
解绑弹性网卡 ecs cloudServerNics unbinding √ ×
修改弹性网卡 vpc cloudServerNics change √ ×
删除弹性网卡 vpc cloudServerNics delete √ ×
路由表 创建路由表 vpc route create √ √
路由表列表获取 vpc route list √ √
路由表详情 路由表详情获取 vpc route get √ √
创建路由规则 vpc routeRules create √ √
路由规则列表 vpc routeRules list √ √
修改规则 vpc routeRules change √ √
删除规则 vpc routeRules delete √ √
更换路由表 vpc route binding √ √
修改路由表 vpc route modify √ √
删除路由表 vpc route delete √ √
关联子网 vpc route binding √ √
安全组 创建安全组 vpc securityGroups create √ √
vpc vpcs list √ √
安全组列表获取 vpc securityGroups list √ √
安全组详情获取 vpc securityGroups get √ √
vpc securityGroupRules list √ √
添加/快速添加规则 vpc securityGroupRules create √ √
修改安全组 vpc securityGroups update √ √
删除安全组 vpc securityGroups delete √ √
克隆安全组 vpc securityGroups copy √ √
vpc securityGroups create √ √
安全组规则列表 安全组规则列表 vpc securityGroupRules list √ √
添加/快速添加安全组规则 vpc securityGroupRules create √ √
修改安全组规则 vpc securityGroupRules update √ √
复制安全组规则 vpc securityGroupRules create √ √
删除安全组规则 vpc securityGroupRules delete √ √
ACL 创建网络ACL vpc firewallPolicies create √ √
vpc vpcs list √ √
ACL列表获取 vpc firewallPolicies list √ √
ACL详情获取 vpc firewallPolicies get √ √
停用ACL vpc firewallPolicies stop √ √
启用ACL vpc firewallPolicies start √ √
删除ACL vpc firewallPolicies delete √ √
ACL关联子网 vpc firewallPolicies attach √ √
ACL取消关联 vpc firewallPolicies detach √ √
ACL规则列表 ACL规则列表 vpc firewallRules list √ √
添加ACL规则 vpc firewallRules create √ √
修改/配置/停用ACL规则/调整优先级 vpc firewallRules update √ √
删除ACL规则 vpc firewallRules delete √ √

天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

通过IAM用户控制资源访问

在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对虚拟私有云资源的访问。

操作步骤

创建IAM子用户

具体操作，请参见“创建子用户/子用户分组”。

创建自定义策略

天翼云提供了访问虚拟私有云资源的系统策略，更多信息，请参见“管理权限”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见“自定义策略“。

策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。

细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。

策略版本号：Version，标识策略结构的版本号。目前为1.1.

策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。

作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。

授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。

a) 脚本配置策略示例一：为IAM子用户配置虚拟私有云查看者权限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:vpcs:list",
                                "vpc:vpcs:get",
                                "vpc:subnets:get",
                                "vpc:subnets:list",
                                "vpc:vips:get",
                                "vpc:firewallPolicies:list",
                                "vpc:firewallPolicies:get",
                                "vpc:cloudServerNics:list",
                                "vpc:cloudServerNics:get",
                                "vpc:route:list",
                                "vpc:route:get",
                                "vpc:securityGroups:list",
                                "vpc:securityGroups:get",
                                "vpc:securityGroupRules:list",   
                                "vpc:securityGroupRules:get",
                                "vpc:routeRules:list",
                                "vpc:routeRules:get",                  
			],
			"Effect": "Allow"
		}
	]
}

b) 脚本配置策略示例二：为IAM子用户配置虚拟私有云所有操作权限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:*:*",
                                "dps:physicalserver:list",
                                "ecs:cloudServers:get",
                                "ecs:cloudServers:list",
			],
			"Effect": "Allow"
		}
	]
}

授权自定义策略

授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见“自定义策略”。

授权系统策略

您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

查看所有产品

虚拟私有云

虚拟私有云

统一身份认证IAM介绍

身份管理

权限管理

虚拟私有云接口对应权限表

通过IAM用户控制资源访问

操作步骤

创建IAM子用户

创建自定义策略

授权自定义策略

授权系统策略

控制台接口				权限三元组			配置支持
控制台接口				权限三元组			IAM（资源池/全局）	企业项目（资源组）
VPC	VPC	创建VPC		vpc	vpcs	create	√	√
				vpc	subnets	create	√	√
				vpc	vpcs	list	√	√
		VPC列表获取		vpc	vpcs	list	√	√
		VPC详情获取		vpc	vpcs	get	√	√
		删除		vpc	vpcs	delete	√	√
		修改		vpc	vpcs	update	√	√
	子网	创建子网	创建子网	vpc	subnets	create	√	√
		创建子网	VPC列表获取	vpc	vpcs	list	√	√
		子网列表	子网列表获取	vpc	subnets	list	√	√
		子网详情	子网详情获取	vpc	subnets	get	√	√
			云主机列表获取	ecs	cloudServers	list	√	√
			云主机详情获取	ecs	cloudServers	get	√	√
			物理机列表获取	dps	physicalserver	list	√	√
			虚拟IP列表获取	vpc	vips	list	√	√
			ACL列表获取	vpc	firewallPolicies	list	√	√
			ACL详情获取	vpc	firewallPolicies	get	√	√
			路由列表获取	vpc	route	list	√	√
			路由详情获取	vpc	route	get	√	√
		修改子网		vpc	subnets	update	√	√
		删除子网		vpc	subnets	delete	√	√
	弹性网卡	创建弹性网卡	创建弹性网卡	vpc	cloudServerNics	create	√	×
			子网列表获取	vpc	subnets	list	√	×
			安全组列表获取	vpc	securityGroups	list	√	×
			VPC列表获取	vpc	vpcs	list	√	×
		弹性网卡列表获取		vpc	cloudServerNics	list	√	×
		弹性网卡详情获取		vpc	cloudServerNics	get	√	×
		绑定弹性网卡		ecs	cloudServerNics	binding	√	×
		解绑弹性网卡		ecs	cloudServerNics	unbinding	√	×
		修改弹性网卡		vpc	cloudServerNics	change	√	×
		删除弹性网卡		vpc	cloudServerNics	delete	√	×
	路由表	创建路由表		vpc	route	create	√	√
		路由表列表获取		vpc	route	list	√	√
		路由表详情	路由表详情获取	vpc	route	get	√	√
			创建路由规则	vpc	routeRules	create	√	√
			路由规则列表	vpc	routeRules	list	√	√
			修改规则	vpc	routeRules	change	√	√
			删除规则	vpc	routeRules	delete	√	√
			更换路由表	vpc	route	binding	√	√
		修改路由表		vpc	route	modify	√	√
		删除路由表		vpc	route	delete	√	√
		关联子网		vpc	route	binding	√	√
	安全组	创建安全组		vpc	securityGroups	create	√	√
		创建安全组		vpc	vpcs	list	√	√
		安全组列表获取		vpc	securityGroups	list	√	√
		安全组详情获取		vpc	securityGroups	get	√	√
		安全组详情获取		vpc	securityGroupRules	list	√	√
		添加/快速添加规则		vpc	securityGroupRules	create	√	√
		修改安全组		vpc	securityGroups	update	√	√
		删除安全组		vpc	securityGroups	delete	√	√
		克隆安全组		vpc	securityGroups	copy	√	√
		克隆安全组		vpc	securityGroups	create	√	√
		安全组规则列表	安全组规则列表	vpc	securityGroupRules	list	√	√
			添加/快速添加安全组规则	vpc	securityGroupRules	create	√	√
			修改安全组规则	vpc	securityGroupRules	update	√	√
			复制安全组规则	vpc	securityGroupRules	create	√	√
			删除安全组规则	vpc	securityGroupRules	delete	√	√
	ACL	创建网络ACL		vpc	firewallPolicies	create	√	√
		创建网络ACL		vpc	vpcs	list	√	√
		ACL列表获取		vpc	firewallPolicies	list	√	√
		ACL详情获取		vpc	firewallPolicies	get	√	√
		停用ACL		vpc	firewallPolicies	stop	√	√
		启用ACL		vpc	firewallPolicies	start	√	√
		删除ACL		vpc	firewallPolicies	delete	√	√
ACL关联子网		vpc	firewallPolicies	attach	√	√
ACL取消关联		vpc	firewallPolicies	detach	√	√
ACL规则列表		ACL规则列表	vpc	firewallRules	list	√	√
		添加ACL规则	vpc	firewallRules	create	√	√
		修改/配置/停用ACL规则/调整优先级	vpc	firewallRules	update	√	√
		删除ACL规则	vpc	firewallRules	delete	√	√

活动

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

查看所有产品

虚拟私有云

虚拟私有云

统一身份认证IAM介绍

身份管理

权限管理

虚拟私有云接口对应权限表

通过IAM用户控制资源访问

操作步骤

创建IAM子用户

创建自定义策略

授权自定义策略

授权系统策略