1. 统一身份认证IAM介绍

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。

IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。

1.1 身份管理

访问控制IAM中的身份包括IAM用户、IAM用户组。

IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。

1.2 权限管理

统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。

权限策略分为系统策略和自定义策略:

系统策略 ：预置的系统策略，您只能使用不能修改。NAT网关相关的系统策略包含如下：

nat admin：NAT网关服务的管理者权限，包含NAT网关所有控制权限（不含订单类权限）；

nat viewer: NAT网关服务的观察者权限，包含NAT网关服务的列表页与详情页面权限；

自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2

创建自定义策略“。

1.3 NAT网关接口对应权限表

如下是NAT网关服务相关权限三元组及生效范围：

控制台接口 权限三元组 配置支持
IAM（资源池/全局） 企业项目（资源组）
创建NAT网关 nat:natGateways:create √ √
修改NAT网关 nat:natGateways:update √ √
退订/删除NAT网关 nat:natGateways:delete √ √
获取NAT网关列表 nat:natGateways:list √ √
获取NAT网关 nat:natGateways:get √ √
添加SNAT规则 nat:snatRules:create √ √
删除SNAT规则 nat:snatRules:delete √ √
修改SNAT规则 nat:snatRules:update √ √
获取SNAT规则列表 nat:snatRules:list √ √
获取SNAT规则 nat:snatRules:get √ √
添加DNAT规则 nat:dnatRules:create √ √
删除DNAT规则 nat:dnatRules:delete √ √
修改DNAT规则 nat:dnatRules:update √ √
获取DNAT规则列表 nat:dnatRules:list √ √
获取DNAT规则 nat:dnatRules:get √ √

控制台接口	权限三元组	配置支持
创建NAT网关	nat:natGateways:create	√	√
修改NAT网关	nat:natGateways:update	√	√
退订/删除NAT网关	nat:natGateways:delete	√	√
获取NAT网关列表	nat:natGateways:list	√	√
获取NAT网关	nat:natGateways:get	√	√
添加SNAT规则	nat:snatRules:create	√	√
删除SNAT规则	nat:snatRules:delete	√	√
修改SNAT规则	nat:snatRules:update	√	√
获取SNAT规则列表	nat:snatRules:list	√	√
获取SNAT规则	nat:snatRules:get	√	√
添加DNAT规则	nat:dnatRules:create	√	√
删除DNAT规则	nat:dnatRules:delete	√	√
修改DNAT规则	nat:dnatRules:update	√	√
获取DNAT规则列表	nat:dnatRules:list	√	√
获取DNAT规则	nat:dnatRules:get	√	√

天翼云支持对用户组/子用户，进行资源池或全局维度的权限授权；同时也支持在企业项目中，对用户组进行资源组维度的权限授权。部分没有企业项目属性的接口或资源，授权只能以资源池或全局维度进行。以资源池或全局维度进行的授权判断，其优先级高于企业项目中的资源组维度授权。

2. 通过IAM用户控制资源访问

在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM子用户并授予特定权限策略，从而控制对NAT网关资源的访问。

2.1 操作步骤

2.1.1 创建IAM子用户

具体操作，请参见https://www.ctyun.cn/document/10345725

2.1.2 创建自定义策略

天翼云提供了访问NAT网关资源的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见https://www.ctyun.cn/document/10345725

策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。

细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。

策略版本号：Version，标识策略结构的版本号。目前为1.1.

策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。

作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。

授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。

a) 脚本配置策略示例一：为IAM子用户配置NAT网关查看者权限, 以及vpc的部分查看权限（*代表取所有值）。

b) 脚本配置策略示例二：为IAM子用户配置NAT网关所有操作权限，以及vpc、ecs的部分操作权限（*代表取所有值）

2.1.3 授权自定义策略

授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见https://www.ctyun.cn/document/10345725。

2.1.4 授权系统策略

您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

查看所有产品

NAT网关

NAT网关

1. 统一身份认证IAM介绍

1.1 身份管理

1.2 权限管理

1.3 NAT网关接口对应权限表

2. 通过IAM用户控制资源访问

2.1 操作步骤

2.1.1 创建IAM子用户

2.1.2 创建自定义策略

2.1.3 授权自定义策略

2.1.4 授权系统策略

活动

应用商城

合作伙伴

开发者

支持与服务

了解天翼云

查看所有产品

NAT网关

NAT网关

1. 统一身份认证IAM介绍

1.1 身份管理

1.2 权限管理

1.3 NAT网关接口对应权限表

2. 通过IAM用户控制资源访问

2.1 操作步骤

2.1.1 创建IAM子用户

2.1.2 创建自定义策略

2.1.3 授权自定义策略

2.1.4 授权系统策略