1.统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。
1.1 身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。
IAM用户有确定的登录密码和访问密钥,IAM用户组则用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
1.2 权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素“Action”“Effect”等,更多信息,请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后,即可让其有权限访问指定资源。
权限策略分为系统策略和自定义策略:
系统策略 :预置的系统策略,您只能使用不能修改。弹性负载均衡相关的系统策略包含如下:
elb admin:弹性负载均衡服务的管理者权限,包含弹性负载均衡所有控制权限(不含订单类权限);
elb viewer: 弹性负载均衡服务的观察者权限,包含弹性负载均衡服务的列表页与详情页面权限;
自定义策略 :您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见“2.1.2
创建自定义策略“。
1.3 弹性负载均衡接口对应权限表
如下是弹性负载均衡服务相关权限三元组及生效范围:
控制台接口 权限三元组 配置支持 IAM(资源池/全局) 企业项目(资源组) 查询负载均衡列表 elb:loadbalancers:list
elb:loadbalancers:get
elb:pools:list
elb:pools:get
elb:members:list
elb:members:get
elb:listeners:list
elb:healthmonitors:get
elb:listeners:get√ √ 创建性能保障型负载均衡 elb:loadbalancers:create
vpc:vpcs:list√ √ 创建经典型负载就均衡 elb:loadbalancers:create
vpc:vpcs:list√ √ 创建监听器 elb:listeners:create
elb:pools:create
elb:healthmonitors:create√ √ 修改负载均衡 elb:loadbalancers:update √ √ 负载均衡退订 elb:loadbalancers:delete √ √ 修改IPv4带宽 vpc:publicIps:update √ √ 绑定EIP vpc:publicIps:update
vpc:publicIps:list
elb:loadbalancers:list√ √ 解绑EIP vpc:publicIps:detach
elb:loadbalancers:list√ √ 续订负载均衡 elb:loadbalancers:renew √ √ 绑定IPv6带宽包 vpc:ipv6Bandwidths:addipv6
vpc:vpcs:list
vpc:subnets:list
vpc:cloudServerNics:list√ √ 解绑IPv6带宽包 vpc:ipv6Bandwidths:removeipv6 √ √ 变配 elb:loadbalancers:update √ √ 删除 elb:loadbalancers:delete √ √ 查看负载均衡详情 elb:loadbalancers:get √ √ 查看监听器列表 elb:loadbalancers:list
elb:loadbalancers:get
elb:pools:list
elb:pools:get
elb:members:list
elb:members:get
elb:listeners:list
elb:healthmonitors:get
elb:listeners:get√ √ 修改监听器 elb:listeners:put √ √ 删除监听器 elb:listeners:delete √ √ 查看监听器详情 elb:listeners:get √ √ 查看转发策略列表 elb:rules:list √ √ 添加转发策略 elb:rules:create
elb:pools:create
elb:healthmonitors:create√ √ 修改转发策略 elb:rules:update √ √ 删除转发策略 elb:rules:delete √ √ 查询后端主机组列表 elb:pools:list √ √ 修改后端主机组 elb:pools:put
elb:healthmonitors:put√ √ 删除后端主机组 elb:pools:delete
elb:healthmonitors:delete√ √ 添加后端主机 elb:members:create √ √ 移除后端主机 elb:members:delete √ √ 修改后端主机 elb:members:update √ √ 查看后端主机 elb:members:list √ √ 查询证书列表 elb:cert:list √ √ 修改证书 elb:cert:update √ √ 删除证书 elb:cert:delete √ √ 创建证书 elb:cert:create √ √
天翼云支持对用户组/子用户,进行资源池或全局维度的权限授权;同时也支持在企业项目中,对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源,授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断,其优先级高于企业项目中的资源组维度授权。
2. 通过IAM用户控制资源访问
在协同使用资源的场景下,根据实际的职责权限情况,您可以创建多个IAM用户并为其授予不同的权限,实现不同IAM子用户可以分权管理不同的资源,从而提高管理效率,降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对弹性负载均衡资源的访问。
2.1 操作步骤
2.1.1 创建IAM子用户
具体操作,请参见 统一身份认证IAM。
2.1.2 创建自定义策略
天翼云提供了访问内网DNS资源的系统策略,更多信息,请参见“1.2权限管理”。如果系统策略不能满足需求,您还可以创建自定义策略,具体操作,请参见 统一身份认证IAM。
策略分为用户可以自行定义的自定义策略,以及预定义在平台录入的系统策略两类。
细粒度授权策略结构包括策略版本号(Version)及策略授权语句(Statement)列表。
策略版本号:Version,标识策略结构的版本号。目前为1.1.
策略授权语句:Statement,包括了基本元素:作用(Effect)和权限集(Action)。
作用(Effect)包含两种:允许(Allow)和拒绝(Deny)。
授权项(Action)是对资源的具体操作权限,支持单个或多个操作权限。
a) 脚本配置策略示例一:为IAM子用户配置弹性负载均衡查看者权限, 以及vpc的部分查看权限(*代表取所有值)。
{
"Version": "1.1",
"Statement": [
{
"Action": [
"elb:*:get",
"elb:*:list",
"vpc:*:get",
"vpc:*:list",
"ecs:*:get",
"ecs:*:list"
],
"Effect": "Allow"
}
]
}
b) 脚本配置策略示例二:为IAM子用户配置弹性负载均衡所有操作权限,以及vpc的部分操作权限(*代表取所有值)
{
"Version": "1.1",
"Statement": [
{
"Action": [
"elb:*:*",
"vpc:*:get",
"vpc:*:list",
"vpc:publicIps:update",
"vpc:publicIps:detach",
"ecs:*:get",
"ecs:*:list",
"vpc:ipv6Bandwidths:removeipv6",
"vpc:ipv6Bandwidths:addipv6",
"ctlts:inst:listProject",
"ctlts:inst:listUnit"
],
"Effect": "Allow"
}
]
}
2.1.3 授权自定义策略
授予IAM用户访问所创建的自定义策略范围中的资源,具体操作,请参见统一身份认证IAM。
2.1.4 授权系统策略
您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。
