概述
如果您需要针对不同资源,对用户设置不同的访问权限,以达到用户之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制云资源的访问。
通过IAM,您可以为其他账号创建IAM用户,并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费,关于IAM的详细介绍,参见:统一身份认证
如果云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用微服务引擎MSE的其他功能。
概念
主账号 :用户在天翼云注册后自动创建,该账号对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,由于账号是付费主体为了确保账号安全,建议创建子用户来进行日常管理工作。
子账号 :主账号认证为企业账号后,在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台,登录入口与主账号相同,受主账号赋予的权限限制。
企业项目: 将云资源、企业成员按项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用项目内云资源的权限受用户组的授权限制。
注意
一个实例只能归属一个企业项目(可变更),一个子账号可以同时在多个企业项目中。
策略: 是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作,“拒绝”的优先级大于“允许”。
系统策略: 系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对组件的只读权限、普通用户权限和管理员权限等等;系统策略只能用于授权,不能编辑和修改。
数据权限: 看到的数据不一样。主账号看到所有实例,子账号只能看到所属项目中的实例。
功能权限: 主账号可以进行所有控制台操作,子账号对单个组件实例拥有的操作权限由主账号授权。
功能权限授权: 给子账号在企业项目A下增加一个策略,即代表该子账号对企业项目A下的实例拥有了策略中定义的权限,策略以外的操作会被禁止。默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。具体授权请参考:用户组授权-统一身份认证
微服务引擎MSE系统权限策略
当前微服务引擎MSE各子产品都已提供预置权限策略,包括产品管理员、使用者等角色,不同的角色权限已授予不同策略。具体策略及描述如下:
| 子产品 | 权限策略 | 当前权限策略描述 |
|---|---|---|
| RCC | rcc-user | 微服务引擎-注册配置中心rcc-CTIAM默认使用者策略 |
| RCC | rcc-admin | 微服务引擎-注册配置中心rcc-CTIAM默认管理员策略 |
| CGW | 云原生网关管理者 | 微服务引擎-云原生网关cgw-CTIAM默认管理者策略,对应用拥有管理权限 |
| CGW | 云原生网关查看者 | 微服务引擎-云原生网关cgw-CTIAM默认查看者策略,对应用仅拥有只读权限 |
| MSGC | 微服务治理中心管理者 | 微服务引擎-微服务治理中心msgc-CTIAM默认管理者策略,对应用拥有管理权限 |
| MSGC | 微服务治理中心使用者 | 微服务引擎-微服务治理中心msgc-CTIAM默认使用者策略,对应用拥有治理权限 |
| MSGC | 微服务治理中心查看者 | 微服务引擎-微服务治理中心msgc-CTIAM默认查看者策略,对应用仅拥有只读权限 |
微服务引擎MSE全量功能权限
微服务引擎MSE子产品各功能模块均支持单独配置授权,权限策略是灵活的授权项,可以精确到功能和资源维度,实现细粒度的访问控制。具体详情如下:
注册配置中心RCC
| 归属模块 | 授权项 | 权限说明 | 权限依赖 | 系统策略 | IAM项目 | 企业项目 | |
|---|---|---|---|---|---|---|---|
| rcc-admin (默认管理员策略) | rcc-user (使用者策略) | ||||||
| 产品订购 | rcc:inst:create-instance | 开通实例 | 无 | ✓ | ✗ | ✓ | ✗ |
| rcc:inst:renew-instance | 续订实例 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:del-instance | 退订实例 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:extend-instance | 实例扩容 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:disk-expand | 磁盘扩容 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:node-expand | 节点扩容 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:spec-expand | 规格扩容 | 无 | ✓ | ✗ | ✓ | ✗ | |
| rcc:inst:instance-billmode | 包周期按需互转 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 集群管理 | rcc:inst:instance-list | 实例列表 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:cluster_monitor_read | 查询集群监控信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:cluster_param_manage | 集群参数管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:cluster_risk_manage | 集群风险管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:cluster_version_manage | 集群版本管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| ELB绑定信息管理 | rcc:inst:elb_bind_manager | ELB绑定管理 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:elb_info_read | ELB绑定信息查询 | 无 | ✓ | ✓ | ✓ | ✗ | |
| 迁移上云 | rcc:inst:migration_cluster_manage | 迁移集群管理 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:migration_task_manage | 迁移任务管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:migration_tool_manage | 迁移上云工具管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| Nacos | rcc:inst:nacos_service_manage | Nacos服务管理 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:nacos_namespace_manage | Nacos命名空间管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_aksk_manage | Nacos认证管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_user_manage | Nacos用户管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_role_manage | Nacos角色管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_perm_manage | Nacos用户权限管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_property_manage | Nacos黑白名单管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:nacos_config_manage | Nacos配置管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| Zookeeper | rcc:inst:zk_service_manage | Zookeeper服务管理 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:zk_znode_manage | Zookeeper数据节点管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:zk_blackandwhite_list | Zookeeper黑白名单管理 | 无 | ✓ | ✓ | ✓ | ✗ | |
| rcc:inst:zk_track_manage | Zookeeper数据轨迹 | 无 | ✓ | ✓ | ✓ | ✗ | |
| Eureka | rcc:inst:eureka_service_manage | Eureka服务管理 | 无 | ✓ | ✓ | ✓ | ✗ |
| rcc:inst:eureka_track_manage | Eureka数据轨迹 | 无 | ✓ | ✓ | ✓ | ✗ | |
云原生网关CGW
| 归属模块 | 授权项 | 权限说明 | 权限依赖 | 系统策略 | IAM项目 | 企业项目 | |
|---|---|---|---|---|---|---|---|
| 云原生网关系统管理者 | 云原生网关系统查看者 | ||||||
| 产品订购 | cgw:inst:create-instance | 产品开通 | 无 | ✓ | ✗ | ✓ | ✗ |
| cgw:inst:del-instance | 产品退订 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:extend-instance | 产品扩容 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:instance-billmode | 包周期按需互转 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:renew-instance | 产品续订 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 网关实例管理 | cgw:inst:getSpuInstInfo | 查询实例相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:instance-list | 查询网关实例列表 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateSpuInst | 更新实例信息 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 网关配置管理 | cgw:inst:updateTraceAnalysis | 更新链路分析配置 | 无 | ✓ | ✗ | ✓ | ✗ |
| cgw:inst:getTraceAnalysis | 获取链路分析配置 | 无 | ✓ | ✓ | ✓ | ✗ | |
| ELB管理 | cgw:inst:getElbInfo | 查询ELB相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateElb | 修改ELB相关信息 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 服务来源管理 | cgw:inst:getUpstreamSource | 查询服务来源 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateUpstreamSource | 更新服务来源 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getNacosInfo | 查询Nacos相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:getK8sInfo | 查询K8s相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| 服务管理 | cgw:inst:getUpstreamInfo | 查询服务相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateUpstream | 更新服务 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getUpstreamVersions | 获取服务版本信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateUpstreamVersions | 更新服务版本 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 域名管理 | cgw:inst:getDomainsInfo | 查询域名相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateDomains | 修改域名 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 路由配置 | cgw:inst:getRoutesInfo | 查询路由相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateRoutes | 修改路由 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getRouteSnapshotInfo | 查询路由快照相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateRouteSnapshot | 修改路由快照 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 安全认证 | cgw:inst:getAuthInfo | 查询认证相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateAuth | 修改认证 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getBlackWhiteListInfo | 查询黑白名单相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateBlackWhiteList | 修改黑白名单 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 观测分析 | cgw:inst:getLogCenterInfo | 查询日志相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateLogCenter | 修改日志 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getMonitorInfo | 查询监控相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| 路由级插件 | cgw:inst:getPluginConfigurationInfo | 获取路由级插件相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updatePluginConfiguration | 修改路由级插件 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 全局插件 | cgw:inst:getPluginsInfo | 获取全局插件相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updatePlugins | 修改全局插件 | 无 | ✓ | ✗ | ✓ | ✗ | |
| 应用管理 | cgw:inst:getAppManageInfo | 查询应用管理相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateAppManage | 修改应用管理 | 无 | ✓ | ✗ | ✓ | ✗ | |
| API托管 | cgw:inst:getApiGwServiceInfo | 查询API托管服务管理相关信息 | 无 | ✓ | ✓ | ✓ | ✗ |
| cgw:inst:updateApiGwService | 修改API托管服务管理 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getApiGwGroupInfo | 查询API托管分组管理相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateApiGwGroup | 修改API托管分组管理 | 无 | ✓ | ✗ | ✓ | ✗ | |
| cgw:inst:getApiGwApiInfo | 查询API托管API管理相关信息 | 无 | ✓ | ✓ | ✓ | ✗ | |
| cgw:inst:updateApiGwApi | 修改API托管API管理 | 无 | ✓ | ✗ | ✓ | ✗ | |
微服务治理中心MSGC
| 归属模块 | 授权项 | 权限说明 | 权限依赖 | 系统策略 | IAM项目 | 企业项目 | ||
|---|---|---|---|---|---|---|---|---|
| 微服务治理中心管理者 | 微服务治理中心使用者 | 微服务治理中心查看者 | ||||||
| 产品订购 | msgc:inst:create-instance | 产品开通 | 无 | ✓ | ✗ | ✗ | ✓ | ✗ |
| msgc:inst:del-instance | 产品退订 | 无 | ✓ | ✗ | ✗ | ✓ | ✗ | |
| msgc:inst:extend-instance | 产品扩容 | 无 | ✓ | ✗ | ✗ | ✓ | ✗ | |
| msgc:inst:renew-instance | 产品续订 | 无 | ✓ | ✗ | ✗ | ✓ | ✗ | |
| 应用管理 | msgc:inst:getAppInfo | 查询应用相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:getOverview | 查询应用概览信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:manageApp | 管理应用 | 无 | ✓ | ✗ | ✗ | ✓ | ✗ | |
| 服务监控 | msgc:inst:getResourceInfo | 查询接口相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:getServiceInfo | 查询服务相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| 服务配置 | msgc:inst:writeDubboConfig | 修改Dubbo相关配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ |
| msgc:inst:writeNodeConfig | 修改节点相关配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 流量治理 | msgc:inst:readAdaptiveFlowConfig | 查询自适应流控相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:readDegradeConfig | 查询服务降级相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readHotParamRule | 读取热点规则相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readLosslessInfo | 查询无损上下线相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readMqGrayRouteConfig | 查询消息灰度相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readOutilierConfig | 查询离群实例摘除相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readPushProtection | 查询推空保护相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readTagInfo | 查询流量标签相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:writeAdaptiveFlowConfig | 修改自适应流控配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeDegradeConfig | 修改服务降级配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeHotParamRule | 修改热点规则 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeLosslessConfig | 修改无损上下限配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeMqGrayRouteConfig | 修改消息灰度配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeOutilierConfig | 修改离群摘除配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writePushProtection | 修改推空保护配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeSwitchConfig | 修改功能开关配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeTagCanaryConfig | 修改金丝雀配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeTagRouteConfig | 修改标签路由配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 流量防护 | msgc:inst:readCircuitBreakConfig | 查看服务熔断相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:readClientConfig | 查询流量防护基础设置 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readClusterInfo | 查询集群防护配置 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readFallbackBehavior | 查询防护行为相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readFlowConfig | 查询流控隔离相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readManualDegradeConfig | 查询主动降级相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readWebFlowConfig | 查询WEB防护相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:writeCircuitBreakConfig | 修改服务熔断配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeClientConfig | 修改流量防护基础配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeClusterInfo | 修改集群防护配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeFallbackBehavior | 修改防护行为 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeFlowConfig | 修改流控隔离配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeManualDegradeConfig | 修改主动降级配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeWebFlowConfig | 修改WEB防护配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 数据库治理 | msgc:inst:readDatabaseGrayConfig | 查询数据库灰度相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:readDatabaseReadWriteConfig | 查询数据库读写路由相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:readDataSourceInfo | 查询连接池相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:writeDatabaseGrayConfig | 修改数据库灰度配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeDatabaseReadWriteConfig | 修改数据库读写路由配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeDataSourceConfig | 修改连接池配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 功能开关 | msgc:inst:getSwitchInfo | 查询功能开关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:getSwitchLog | 查询功能开关日志 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| 开发测试治理 | msgc:inst:readMockConfig | 查询服务Mock相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:writeMockConfig | 修改服务Mock配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 全链路灰度 | msgc:inst:readSwimmingGroup | 查询泳道组相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:readSwimmingLane | 查询泳道相关信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
| msgc:inst:writeSwimmingGroup | 修改泳道组 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| msgc:inst:writeSwimmingLane | 修改泳道 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 网关治理 | msgc:inst:readGatewayApiDef | 查询网关API信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:writeGatewayApiDef | 修改网关API配置 | 无 | ✓ | ✓ | ✗ | ✓ | ✗ | |
| 运维中心 | msgc:inst:getEvent | 查询应用事件信息 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ |
| msgc:inst:getOpsLog | 查询操作日志 | 无 | ✓ | ✓ | ✓ | ✓ | ✗ | |
