统一身份认证IAM介绍
统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。
IAM为您提供的主要功能包括:精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。
身份管理
访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥,IAM用户组用于分类职责相同的IAM用户,IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同试用资源的场景中,避免直接共享天翼云账号的密码等信息,缩小不同IAM子用户的信息可见范围,可为IAM子用户和IAM用户组按需授权,即使不慎泄露机密信息,也不会危及天翼云账号下的所有资源。
权限管理
统一身份认证IAM通过权限策略描述授权的具体内容,权限策略包括固定的基本元素"Action""Effect"等更多信息。
系统策略:预置的系统策略,您只能使用不能修改。弹性文件服务的相关系统策略包含如下:
sfs admin:弹性文件服务的管理者权限,包含弹性文件服务所有控制权限(不包含订单类权限)。
sfs viewer:弹性文件服务的观察者权限,包含弹性文件服务的列表页与详情页页面权限。
sfspermission admin:弹性文件权限组/权限组规则(无企业项目属性)的管理者权限。
sfspermission viewer:弹性文件权限组/权限组规则(无企业项目属性)的观察者权限。
弹性文件服务接口对应权限表
如下是弹性文件服务相关权限三元组及生效范围:
控制台接口
权限三元组
配置支持 admin viewer sfspermission admin sfspermission viewer 创建文件系统
sfs:shares:create √ vpc:subnets:list √ √ vpc:vpcs:list √ √ 修改文件系统名称 sfs:shares:put √ 添加VPC
sfs:permission:create √ vpc:vpcs:add √ sfs:shares:list √ √ sfs:permission:list √ √ 解绑VPC
sfs:shares:datach √ vpc:vpcs:list √ √ 修改子网 vpc:subnets:update √ 删除子网 vpc:subnets:delete
√ 续费文件系统 sfs:shares:create √ 扩容文件系统容量 sfs:shares:update √ 删除文件系统 sfs:shares:delete √ 查看文件系统列表 sfs:shares:list √ √ √ 查看文件系统详情
sfs:shares:get √ √ vpc:vpcs:list √ √ sfs:permission:list √ √ 创建VPC vpc:vpcs:create √ 查看VPC详情 vpc:vpcs:get √ √ 权限组
创建/更换
sfs:permission:reate √ √ sfs:permission:bind √ √ 修改 sfs:permission:update √ √ 删除 sfs:permission:delete √ √ 列出 sfs:permission:list √ √ √ √
权限组规则
添加规则 sfs:rule:create √ √ 修改规则 sfs:rule:update √ √ 删除规则 sfs:rule:delete √ √ 列出规则 sfs:rule:list √ √ √
