概述
如果您需要针对不同资源,对用户设置不同的访问权限,以达到用户之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制云资源的访问。
通过IAM,您可以为其他账号创建IAM用户,并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费,关于IAM的详细介绍,参见:统一身份认证
如果云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用微服务云应用平台的其他功能。
概念
主账号 :用户在天翼云注册后自动创建,该账号对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,由于账号是付费主体为了确保账号安全,建议创建子用户来进行日常管理工作。
子账号 :主账号认证为企业账号后,在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台,登录入口与主账号相同,受主账号赋予的权限限制。
企业项目: 将云资源、企业成员按项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用项目内云资源的权限受用户组的授权限制。
注意
一个实例只能归属一个企业项目(可变更),一个子账号可以同时在多个企业项目中。
策略: 是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作,“拒绝”的优先级大于“允许”。
系统策略: 系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对组件的只读权限、普通用户权限和管理员权限等等;系统策略只能用于授权,不能编辑和修改。
数据权限: 看到的数据不一样。主账号看到所有实例,子账号只能看到所属项目中的实例。
功能权限: 主账号可以进行所有控制台操作,子账号对单个组件实例拥有的操作权限由主账号授权。
功能权限授权: 给子账号在企业项目A下增加一个策略,即代表该子账号对企业项目A下的实例拥有了策略中定义的权限,策略以外的操作会被禁止。默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。具体授权请参考:用户组授权-统一身份认证
微服务云应用平台系统权限策略
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对微服务云应用平台进行操作。
微服务云应用平台内置五种系统策略
注意
未授权微服务云应用平台策略的子账号是不能正常使用微服务云应用平台系统功能,请参考主账号给子账号授权IAM权限策略流程。
微服务云应用平台所有权限列表,其中,“√”表示支持,“x”表示不支持。
| 权限 | 微服务云应用平台系统管理员 | 微服务云应用平台资源管理员 | 微服务云应用平台资源运维人员 | 微服务云应用平台应用管理员 | 微服务云应用平台应用运维人员 |
| 管理企业项目 | √ | √ | √ | √ | √ |
| 查看环境 | √ | √ | √ | √ | √ |
| 创建环境 | √ | √ | x | x | x |
| 更新环境 | √ | √ | √ | x | x |
| 删除环境 | √ | √ | √ | x | x |
| 查看集群 | √ | √ | √ | √ | √ |
| 管理集群 | √ | √ | √ | √ | √ |
| 查看项目 | √ | √ | √ | √ | √ |
| 创建项目 | √ | √ | x | x | x |
| 更新项目 | √ | √ | √ | x | x |
| 删除项目 | √ | √ | √ | x | x |
| 查看应用 | √ | √ | √ | √ | √ |
| 管理应用 | √ | x | x | √ | √ |
| 查看应用分组 | √ | √ | √ | √ | √ |
| 管理应用分组 | √ | √ | √ | √ | √ |
| 查看技术栈 | √ | √ | √ | √ | √ |
| 管理技术栈 | √ | √ | √ | √ | √ |
| 查看制品库 | √ | √ | √ | √ | √ |
| 管理制品库 | √ | x | x | √ | √ |
| 查看应用实例 | √ | √ | √ | √ | √ |
| 创建应用实例 | √ | x | x | √ | x |
| 管理应用实例 | √ | x | x | √ | √ |
| 删除应用实例 | √ | x | x | √ | √ |
| 配置应用实例 | √ | √ | √ | √ | √ |
| 查看Kubernetes配置 | √ | √ | √ | √ | √ |
| 配置Kubernetes | √ | √ | √ | √ | √ |
| 查看Ingress路由 | √ | √ | √ | √ | √ |
| 管理Ingress路由 | √ | √ | √ | √ | √ |
| 批量运维 | √ | √ | √ | √ | √ |
| 查看微服务配置 | √ | √ | √ | √ | √ |
| 管理微服务配置 | √ | √ | x | √ | √ |
| 查看全链路流量控制 | √ | √ | √ | √ | √ |
| 管理全链路流量控制 | √ | x | x | √ | √ |
| 主子账号 | √ | x | x | x | x |
| 查看服务连接 | √ | √ | √ | √ | √ |
| 管理服务连接 | √ | √ | √ | √ | √ |
| 审计日志 | √ | x | x | x | x |
微服务云应用平台全量功能权限
| 模块 | 权限 | 权限码 | 权限范围 |
| 企业项目 | 管理企业项目 | msap:inst:manageEnterpriseProject | 子账号拥有此权限才可以查看对应的企业项目 |
| 环境规划 | 查看环境 | msap:inst:viewEnv | 查看环境,部署单元等查看权限 |
| 创建环境 | msap:inst:createEnv | 创建环境,部署单元权限 | |
| 更新环境 | msap:inst:updateEnv | 更新环境,部署单元权限 | |
| 删除环境 | msap:inst:deleteEnv | 删除环境,部署单元权限 | |
| 查看集群 | msap:inst:viewCluster | 查看集群 | |
| 管理集群 | msap:inst:manageCluster | 管理集群(包括导入权限,移除) | |
| 项目管理 | 查看项目 | msap:inst:viewProject | 查看项目,以及关联的环境数据 |
| 创建项目 | msap:inst:createProject | 创建项目 | |
| 更新项目 | msap:inst:updateProject | 更新项目,以及关联的环境数据 | |
| 删除项目 | msap:inst:deleteProject | 删除项目 | |
| 应用 | 查看应用 | msap:inst:viewApplication | 查看应用 |
| 管理应用 | msap:inst:manageApplication | 管理应用,包括创建、更新、删除应用 | |
| 查看应用分组 | msap:inst:viewAppGroup | 查看应用分组 | |
| 管理应用分组 | msap:inst:manageAppGroup | 管理应用分组,包括创建、更新、删除应用分组 | |
| 技术栈 | 查看技术栈 | msap:inst:viewTechStack | 查看技术栈 |
| 管理技术栈 | msap:inst:manageTechStack | 管理技术栈,创建、更新、删除技术栈 | |
| 制品库 | 查看制品库 | msap:inst:artifactory | 查看制品库,包括制品、镜像、资源占用等查看权限 |
| 管理制品库 | msap:inst:manageArtifactory | 同步镜像等权限 | |
| 应用实例运维 | 查看应用实例 | msap:inst:viewAppInst | 涉及查看应用实例、发布单列表、批量发布单等一系列应用实例查看权限 |
| 创建应用实例 | msap:inst:createAppInst | 创建应用实例 | |
| 管理应用实例 | msap:inst:manageAppInst | 涉及应用的更新、发布(发布单创建、更新、删除)、生命周期管理等一些列操作权限 | |
| 删除应用实例 | msap:inst:deleteAppInst | 删除应用实例 | |
| 配置应用实例 | msap:inst:configureAppInst | 接口访问配置;微服务治理 | |
| 查看Kubernetes配置 | msap:inst:viewK8sConfiguration | 查看Kubernates配置:配置项,保密字典,配置模板 | |
| 配置Kubernetes | msap:inst:configureK8s | 配置Kubernates(增删改):配置项,保密字典,配置模板 | |
| 查看Ingress路由 | msap:inst:viewIngress | 查看Ingress应用路由 | |
| 管理Ingress路由 | msap:inst:manageIngress | 管理Ingress应用路由 | |
| 批量运维 | msap:inst:batchOps | ECS批量运维 | |
| 服务治理 | 查看微服务配置 | msap:inst:msConfig | 查看微服务配置 |
| 管理微服务配置 | msap:inst:manageMsConfig | 管理微服务配置 | |
| 查看全链路流量控制 | msap:inst:traffic | 查看全链路流量控制 | |
| 管理全链路流量控制 | msap:inst:manageTraffic | 管理全链路流量控制 | |
| 系统管理 | 主子账号 | msap:inst:viewAccount | 查看主子账号及子账号权限策略 |
| 查看服务连接 | msap:inst:viewServiceConnect | 查看服务连接 | |
| 管理服务连接 | msap:inst:manageServiceConnect | 管理服务连接 | |
| 审计日志 | msap:inst:viewBgLog | 查看审计日志权限 |
注意
微服务云应用平台权限码各个之间相互独立,没有相互依赖关系
