用户身份、角色、策略说明
用户在天翼云注册后自动创建主用户,该用户对其所拥有的资源具有完全的访问权限,拥有重置用户密码、分配用户等权限。若需多人共同使用天翼云资源,为确保账号安全,建议创建子用户来进行日常管理工作。子用户是由拥有IAM权限的用户在用户管理中心创建,创建初期是没有任何权限,需要先创建用户组授予相应的策略并把创建的用户加到用户组,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
根据授权分为角色、委托和策略。
角色:权限控制针对所有天翼云用户,IAM需要识别访问者的角色身份并赋予相应的委托权限策略。
委托:包括用户和用户之间的委托等操作用户的资源属于委托的范畴。
策略:是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。
云防火墙的身份认证与访问控制
天翼云云防火墙(原生版)已经对接了统一身份认证服务(Identity and Access Management,IAM)服务。通过IAM的权限定义可实现对云资源权限的访问控制。
通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对云资源的访问范围,也可以将用户加入到企业项目中,为用户赋予企业项目的权限。
云防火墙角色
云防火墙角色如下表:
| 角色名称 | 类型 | 作用范围 | 描述 |
|---|---|---|---|
| CFW admin | 系统默认角色 | 全局 | 全局策略,拥有所有读写权限 |
| CFW viewer | 系统默认角色 | 全局 | 只读策略,拥有只读权限 |
CFW admin 策略内容
{
"Version": "1.0",
"Statement": [
{
"effect": "Allow",
"action": [
"cfw:agent:download",
"cfw:agent:query",
"cfw:app:query",
"cfw:app:reload",
"cfw:blackWhitePolicy:add",
"cfw:blackWhitePolicy:delete",
"cfw:blackWhitePolicy:query",
"cfw:blackWhitePolicy:update",
"cfw:dpi:query",
"cfw:firewall:add",
"cfw:firewall:delete",
"cfw:firewall:destroy",
"cfw:firewall:query",
"cfw:firewall:update",
"cfw:flowLog:add",
"cfw:flowLog:query",
"cfw:heartBeat:query",
"cfw:igw:query",
"cfw:ipsRule:query",
"cfw:ipsRule:update",
"cfw:logSetting:query",
"cfw:logSetting:add",
"cfw:operationLog:query",
"cfw:whiteList:add",
"cfw:whiteList:delete",
"cfw:whiteList:update",
"cfw:whiteList:query",
"cfw:systemSecPolicy:add",
"cfw:systemSecPolicy:delete",
"cfw:systemSecPolicy:query",
"cfw:systemSecPolicy:update",
"cfw:systemVrfBind:query",
"cfw:systemVrfBind:update",
"cfw:report:query",
"cfw:report:download",
"cfw:report:update",
"cfw:report:",
"cfw:alarm:query",
"cfw:alarm:update",
"cfw:notification:query",
"cfw:notification:update",
"cfw:logManager:query",
"cfw:logManager:update",
"cfw:logManager:download"
]
}
]
}
CFW Viewer 策略内容
{
"Version": "1.0",
"Statement": [
{
"effect": "Allow",
"action": [
"cfw:agent:query",
"cfw:app:query",
"cfw:blackWhitePolicy:query",
"cfw:dpi:query",
"cfw:firewall:query",
"cfw:flowLog:query",
"cfw:heartBeat:query",
"cfw:igw:query",
"cfw:ipsRule:query",
"cfw:logSetting:query",
"cfw:operationLog:query",
"cfw:whiteList:query",
"cfw:systemSecPolicy:query",
"cfw:systemVrfBind:query",
"cfw:report:query",
"cfw:alarm:query",
"cfw:notification:query",
"cfw:logManager:query"
]
}
]
}
