基本概念
并行文件服务HPFS已对接云平台统一身份认证(IAM),支持通过IAM对HPFS的资源进行访问控制管理。
使用前您需了解常用的基本概念,包括:帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证。详细请查看:基本概念
IAM的相关使用限制请查看:使用限制
IAM应用场景
IAM策略主要面向对同租户帐号下,对不同IAM用户授权的场景:
- 您可以为不同操作人员或应用程序创建不同IAM用户,并授予IAM用户刚好能完成工作所需的权限,比如HPFS的查看权限,进行最小粒度授权管理。
- 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台,实现多用户协同操作时无需分享帐号的密码的安全要求。
详细场景说明可以查看:示例场景
操作步骤
创建IAM用户并授权使用HPFS,示例流程
-
登录天翼云控制台,在右上角点击头像选择“账号中心”,在左侧导航中选择“统一身份认证”,或者直接点击 IAM控制台。
-
在IAM里,左侧导航中点击“用户组”,点击右上角的“创建用户组”。
-
在“创建用户组”界面,输入用户组名称和描述,单击“确定”,完成用户组创建。用户组是用户的集合,IAM通过用户组功能实现用户的授权。
-
您需要新建用户或将已创建的用户,加入刚建好的用户组里。在左侧导航窗格中,点击“用户”,点击右上角“创建用户”。
-
在用户组列表中,单击新建的用户组右侧“查看”,可以检查是否已将用户添加到组中,确认符合预期后,点击“授权”。
-
选择策略,在右上角“请输入策略名称进行搜索”框内输入“并行”进行搜索,勾选需要授予用户组的资源池级策略,单击“下一步”。并行文件的管理者可以对资源进行创建、扩容、删除等所有操作,并行文件查看者只支持查看资源列表、详情。如您需要更细粒度的权限设置,可通过创建自定义策略来进行授权管理。
-
由于并行文件在创建资源的是否,需要选择企业项目,所以还需要将用户也添加到企业项目并授权对应权限。在左侧导航窗格中,点击“企业项目”,选择指定的企业项目一般为default,点击右侧“查看用户组”。
-
在用户组tab页,点击“设置用户组”,然后选择新创建的用户组。
-
在加入的用户组右侧操作里,点击“设置策略”,并选择并行文件的对应策略。
-
完成以上操作后,主账号需要将创建IAM用户时输入的邮箱及密码告知对应的员工,这些员工就可以使用邮箱和密码登录天翼云。如果登录失败,IAM用户可以联系管理员重置密码。对应员工使用IAM用户登录HPFS管理控制台,验证用户权限。
HPFS系统策略
云服务名称 作用范围 系统策略名称 系统策略描述 并行文件服务 资源池 并行文件管理者 并行文件管理者 资源池 并行文件查看者 并行文件查看者
注意如您的子账户需要下单相关操作(创建/扩容场景涉及下单),则需要再授权“订单与云网账号”相关权限,比如bss admin策略”详细可参考子用户如何创建和下单一类节点资源。
HPFS自定义策略
如系统策略无法满足您的需求,可以创建自定义策略,来实现更细粒度的权限管理场景。
-
点击左侧导航窗格的“策略管理”,点击策略管理页面的“创建自定义策略”按钮,进入创建自定义策略页面。
-
输入策略名称、策略描述等基本信息后,点击“下一步”。
-
选择“可视化视图”。
-
效果:选择“允许”或“拒绝”。
-
云服务:选择“并行文件”。
-
选择“操作”,根据场景需求勾选产品权限。
-
(可选)在“策略配置方式”选择JSON视图,将可视化视图配置的策略内容转换为JSON语句进行检视和编辑,您可以在JSON视图中对策略内容进行修改。
-
单击“确定”,完成自定义策略的创建。
注意在自定义策略时,如果您的子账户是在控制台进行使用,您需要添加操作相关的三元组,也需要添加加载此页面所需要的三元组。比如,您要在控制台的文件列表页面删除某个文件系统,您除了需要配置删除文件系统的三元组外,还需要添加查询文件系统列表的相关三元组。
控制台操作场景
场景
权限三元组
自定义策略
产品
资源类型
操作
描述
读操作
写操作
创建文件系统
hpfs
files
create
创建文件系统
√
vpc
vpcs
list
VPC列表获取
√
vpc
subnets
list
子网列表获取
√
删除文件系统
hpfs
files
delete
删除文件系统
√
修改文件系统名称
hpfs
files
update
修改文件系统名称
√
扩容文件系统
hpfs
files
resize
扩容文件系统
√
查询文件系统列表
hpfs
files
list
查询文件系统列表
√
查询文件系统详情
hpfs
files
info
查询文件系统详情
√
hpfs
files
list
查询文件系统列表
√
hpfs
vpcs
list
查询文件绑定的vpc列表
√
添加vpc
hpfs
vpcs
bind
绑定vpn、子网
√
vpc
vpcs
list
VPC列表获取
√
vpc
subnets
list
子网列表获取
√
hpfs
permission
list
权限组列表
√
解绑vpc
hpfs
vpcs
unbind
解绑vpc
√
权限组创建
hpfs
permission
create
创建权限组
√
权限组修改
hpfs
permission
update
修改权限组
√
权限组删除
hpfs
permission
delete
删除权限组
√
权限组更换
hpfs
permission
change
更换权限组
√
vpc
vpcs
list
VPC列表获取
√
权限组列表
hpfs
permission
list
权限组列表
√
权限组详情页面
hpfs
permission
info
权限组详情
√
hpfs
rule
list
权限组规则列表
√
hpfs
rule
create
权限组创建规则
√
hpfs
rule
update
权限组修改规则
√
hpfs
rule
delete
权限组删除规则
√
hpfs
rule
list
权限组规则列表
√
API操作场景
openAPI 权限三元组 自定义策略 产品 资源类型 操作 描述 读操作 写操作 并行文件开通 hpfs files create 创建文件系统 √ 并行文件集群列表查询 并行文件性能规格列表查询 并行文件退订 hpfs files delete 删除文件系统 √ 并行文件修改规格 hpfs files resize 扩容文件系统 √ 并行文件列表查询 hpfs files list 查询文件系统列表 √ 并行文件信息查询(基于 sfsUID + regionID) hpfs files info 查询文件系统详情 √ 并行文件信息查询(基于 sfsName + regionID)