统一身份认证IAM介绍

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。

IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。

身份管理

访问控制IAM中的身份包括IAM用户、IAM用户组。

IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。

权限管理

统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。

权限策略分为系统策略和自定义策略 :

系统策略 ：预置的系统策略，您只能使用不能修改。流量镜像相关的系统策略包含如下：

admin：流量镜像服务的管理者权限，包含流量镜像服务所有控制权限（不含订单类权限）；

viewer: 流量镜像服务的观察者权限，包含流量镜像服务的列表页与详情页面权限；

自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“自定义策略“。

流量镜像接口对应权限表

如下是流量镜像产品相关权限三元组及生效范围：

控制台接口
权限三元组
配置支持
IAM
企业项目
筛选条件
创建
vpc
mirrorFilter
create
√
√
列表获取
vpc
mirrorFilter
list
√
√
详情获取
vpc
mirrorFilter
get
√
√
vpc
trafficMirror
list
√
√
vpc
trafficMirror
get
√
√
修改
vpc
mirrorFilter
update
√
√
删除
vpc
mirrorFilter
delete
√
√
镜像会话
创建
vpc
trafficMirror
create
√
√
vpc
mirrorFilter
list
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
列表获取
vpc
trafficMirror
list
√
√
详情获取
vpc
trafficMirror
get
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
删除
vpc
trafficMirror
delete
√
√
修改
vpc
trafficMirror
update
√
√
变更筛选条件
vpc
trafficMirror
detach
√
√
vpc
mirrorFilter
list
√
√
添加镜像源
vpc
trafficMirror
increase
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
删除镜像源
vpc
trafficMirror
decrease
√
√
变更镜像目的
vpc
trafficMirror
change
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
启动镜像会话
vpc
trafficMirror
start
√
√
停止镜像会话
vpc
trafficMirror
stop
√
√

天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

通过IAM用户控制资源访问

在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对流量镜像资源的访问。

操作步骤

创建IAM子用户

具体操作，请参见“创建用户”。

创建自定义策略

天翼云提供了访问流量镜像资源的系统策略，更多信息，请参见“管理权限”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见“自定义策略“。

策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。

细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。

策略版本号：Version，标识策略结构的版本号。目前为1.1.

策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。

作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。

授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。

a) 脚本配置策略示例一：为IAM子用户配置虚拟私有云查看者权限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:mirrorFilter:get",
                                "vpc:mirrorFilter:list",
                                "vpc:trafficMirror:get",
                                "vpc:trafficMirror:list",
                                "vpc:cloudServerNics:get",
                                "vpc:cloudServerNics:list",
         
                                "vpc:trafficMirror:*",
			],
			"Effect": "Allow"
		}
	]
}

b) 脚本配置策略示例二：为IAM子用户配置虚拟私有云所有操作权限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:mirrorFilter:*",
                                "vpc:trafficMirror:*",
                                "vpc:cloudServerNics:get",
                                "vpc:cloudServerNics:list",
			],
			"Effect": "Allow"
		}
	]
}

授权自定义策略

授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见“自定义策略”。

授权系统策略

您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。