统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。
使用前您需了解常用的基本概念,包括:帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等,详细请查看:术语解释。
IAM的相关使用限制请查看:使用限制。
IAM应用场景
IAM策略主要面向对同租户帐号下,对不同IAM用户授权的场景:
您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如文件系统的查看权限,进行最小粒度授权管理。
新创建的IAM用户可以使用自己的用户名和密码登录云服务平台,实现多用户协同操作时无需分享帐号的密码的安全要求。
场景实例说明请查看:入门说明。
操作步骤
关于IAM功能的操作步骤请参见快速入门-统一身份认证(一类节点)。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素"Action""Effect"等更多信息。
系统策略:预置的系统策略,您只能使用不能修改,具体说明请查看系统策略。
弹性文件服务预置的系统策略包含如下:
sfs admin:弹性文件服务的管理者权限,包含弹性文件服务所有控制权限(不包含订单类权限)。
sfs viewer:弹性文件服务的观察者权限,包含弹性文件服务的列表页与详情页页面权限。
自定义策略:您按需自行创建和维护的权限策略,关于自定义策略的操作和示例,请参见创建自定义策略。
弹性文件服务接口对应权限表
如下是弹性文件服务控制台相关权限三元组及生效范围:
| 控制台接口 | 权限三元组 | 配置支持 | ||
| admin | viewer | |||
| 创建文件系统 | sfs:shares:create | √ | ||
| VPC:subnets:list | √ | √ | ||
| VPC:VPCs:list | √ | √ | ||
| 修改文件系统名称 | sfs:shares:put | √ | ||
| 添加VPC | sfs:permission:create | √ | ||
| VPC:VPCs:add | √ | |||
| sfs:shares:list | √ | √ | ||
| sfs:permission:list | √ | √ | ||
| 解绑VPC | sfs:shares:datach | √ | ||
| VPC:VPCs:list | √ | √ | ||
| 修改子网 | VPC:subnets:update | √ | ||
| 删除子网 | VPC:subnets:delete | √ | ||
| 续费文件系统 | sfs:shares:create | √ | ||
| 扩容文件系统容量 | sfs:shares:update | √ | ||
| 删除文件系统 | sfs:shares:delete | √ | ||
| 查看文件系统列表 | sfs:shares:list | √ | √ | |
| 查看文件系统详情 | sfs:shares:get | √ | √ | |
| VPC:VPCs:list | √ | √ | ||
| sfs:permission:list | √ | √ | ||
| 创建VPC | VPC:VPCs:create | √ | ||
| 查看VPC详情 | VPC:VPCs:get | √ | √ | |
| 权限组 | 创建/更换 | sfs:permission:reate | √ | |
| sfs:permission:bind | √ | |||
| 修改 | sfs:permission:update | √ | ||
| 删除 | sfs:permission:delete | √ | ||
| 列出 | sfs:permission:list | √ | √ | |
权限组规则 | 添加规则 | sfs:rule:create | √ | |
| 修改规则 | sfs:rule:update | √ | ||
| 删除规则 | sfs:rule:delete | √ | ||
| 列出规则 | sfs:rule:list | √ | √ | |
