服务器安全卫士(原生版)通过IAM(统一身份认证服务,Identity and Access Management)对用户权限进行管理,IAM可以帮助用户安全地控制服务器安全卫士(原生版)服务的访问及操作权限。
默认情况下,天翼云主账号拥有管理员权限,而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组,并给用户组授权相应策略后,IAM用户才能获得策略对应的权限,才可以基于被授予的权限对云服务进行操作。
IAM应用场景
IAM策略主要面向同一主账号下,对不同IAM用户授权的场景:
- 您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如查看权限,进行最小粒度授权管理。
- 新创建的IAM用户可以使用自己的登录名和密码登录控制台,实现多用户协同操作时无需分享账号密码的安全要求。
IAM策略说明
天翼云为服务器安全卫士(原生版)提供如下系统策略。如果系统策略不满足授权要求,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,详情请参见创建自定义策略。
策略名称 策略描述 类别 授权范围 ctcsscn admin 服务器安全卫士所有权限。 系统策略 全局级 ctcsscn viewer 服务器安全卫士只读权限。 系统策略 全局级
通过IAM授权使用服务器安全卫士(原生版)
以下步骤,以仅授予用户“ctcsscn admin”策略为例,实现用户只能访问、管理服务器安全卫士(原生版)服务,无法访问其他云服务的权限管理目标。
步骤一:创建用户组并授权
用户组是用户的集合,IAM通过用户组功能实现用户的授权。
-
使用主账号登录天翼云控制台,在右上角单击头像选择“账号中心”,在左侧导航中选择“统一身份认证”,或者直接点击IAM控制台。
-
在左侧导航栏,选择“用户组”,单击右上角的“创建用户组”。
-
在“创建用户组”界面,输入用户组名称和描述。
-
单击“确定”,完成用户组创建。用户组列表中显示新创建的用户组。
-
在用户组列表中,单击新建的用户组右侧的“授权”。
-
选择策略:以仅授予用户“ctcsscn admin”权限为例。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的全局策略“ctcsscn admin”,单击“下一步”。
-
设置授权范围:由于上一步选择的系统策略,作用范围为全局,因此在设置授权范围时,默认勾选了“全局”选项。单击“确定”完成授权。
步骤二:创建IAM用户并加入用户组
-
在统一身份认证服务左侧导航栏,选择“用户”,单击右上角“创建用户”。
-
配置用户基本信息:在“创建用户”界面填写“用户基本信息”,单击“下一步”。
如需一次创建多个用户,可以单击“添加用户”添加多个用户,或单击“上传用户”进行批量创建。
-
加入用户组:在左侧可选用户组列表中找到刚创建的用户组,单击操作列的“添加”将用户加入到该用户组。
-
单击“下一步”,等待IAM用户创建完成。记录新建的IAM用户的登录名和密码。
步骤三:使用创建的IAM用户登录并验证权限
完成IAM用户创建后,即可以使用登录名和密码登录天翼云,验证权限(当前用户权限仅包含“ctcsscn admin”权限)。
-
使用新创建的IAM登录天翼云控制中心。
在登录页面,输入IAM用户的登录名及密码。如果登录失败,IAM用户可以联系主账号重置密码。
-
执行以下操作,若满足预期结果,表示“ctcsscn admin”权限已生效。
-
在产品服务列表中选择“服务器安全卫士(原生版)”,成功进入服务器安全卫士(原生版)安全概览界面。
-
在产品服务列表中选择除“服务器安全卫士(原生版)”之外的其他服务,提示权限不足。
-
