如果您需要针对统一身份认证服务,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。
通过IAM,您可以使用主账号给员工创建IAM用户,并授权控制他们对资源的访问范围。例如您希望某些员工拥有IAM的查看权限,但是不希望他们拥有删除IAM用户、禁止用户登录等高危操作的权限,那么您可以使用IAM为项目规划人员创建IAM用户,通过授予仅能查看IAM,但是不允许使用IAM的权限,控制他们对IAM控制台的使用范围。
IAM权限
默认情况下,账号创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略及绑定范围,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM时,不需要切换区域。
IAM目前提供的系统策略
如下表所示,IAM目前提供的系统策略如下。
系统策略 | 描述 | 策略内容 |
---|---|---|
ctiam admin | 统一身份认证-管理员权限 | ctiam admin策略内容 |
ctiam viewer | 统一身份认证-观察者权限 | ctiam viewer策略内容 |
常用操作与IAM系统策略的关系
下表列出了IAM常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
操作 | ctiam admin | ctiam viewer |
---|---|---|
创建用户 | 有 | 无 |
注销用户 | 有 | 无 |
分页查询用户 | 有 | 有 |
编辑用户 | 有 | 无 |
查询用户详情 | 有 | 有 |
查询用户列表 | 有 | 有 |
创建用户组 | 有 | 无 |
注销用户组 | 有 | 无 |
分页查询用户组 | 有 | 有 |
编辑用户组 | 有 | 无 |
将用户移出用户组 | 有 | 无 |
将用户移入用户组 | 有 | 无 |
查询用户组详情 | 有 | 有 |
用户组授权 | 有 | 无 |
用户组取消权限 | 有 | 无 |
查询用户组权限 | 有 | 有 |
查询用户权限 | 有 | 有 |
分页查询权限 | 有 | 有 |
创建自定义策略 | 有 | 无 |
编辑自定义策略 | 有 | 无 |
删除自定义策略 | 有 | 无 |
查询所有策略 | 有 | 有 |
查询策略详情 | 有 | 有 |
创建密钥 | 有 | 无 |
查询密钥列表 | 有 | 有 |
创建委托角色 | 有 | 无 |
编辑委托角色 | 有 | 无 |
删除委托角色 | 有 | 无 |
分页查询委托角色 | 有 | 有 |
委托角色授权 | 有 | 无 |
取消角色授权 | 有 | 无 |
创建身份提供商 | 有 | 无 |
编辑身份提供商 | 有 | 无 |
删除身份提供商 | 有 | 无 |
分页查询身份提供商 | 有 | 有 |
查询身份提供商详情 | 有 | 有 |
查询配额列表 | 有 | 有 |
查询账户资源池 | 有 | 有 |
查询用户企业项目列表 | 有 | 有 |
为用户授权 | 有 | 无 |
查询委托角色详情 | 有 | 有 |
创建企业项目 | 有 | 无 |
修改企业项目 | 有 | 无 |
查询企业项目 | 有 | 有 |
启用停用项目 | 有 | 无 |
企业项目关联用户组分页查询 | 有 | 有 |
用户组与企业项目关联 | 有 | 无 |
查询企业项目用户组策略 | 有 | 有 |
移除企业项目关联用户组 | 有 | 无 |
设置企业项目所属用户组及策略 | 有 | 无 |
分页查询资源信息 | 有 | 有 |
资源迁入/迁出企业项目 | 有 | 无 |
资源上报 | 有 | 无 |
切换委托 | 有 | 无 |
重置密码 | 有 | 无 |
删除密钥 | 有 | 无 |
禁用ak | 有 | 无 |
启用ak | 有 | 无 |
ak移入回收站 | 有 | 无 |
ak从回收站恢复 | 有 | 无 |
查看敏感操作 | 有 | 有 |
授权企业项目 | 有 | 无 |
获取临时凭证 | 有 | 无 |
设置控制台访问控制策略 | 有 | 无 |
ctiam admin策略内容
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ctiam::"
],
"Effect": "Allow"
}
]
}
ctiam viewer 策略内容
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ctiam:*:get",
"ctiam::get",
"ctiam:*:list",
"ctiam::list"
],
"Effect": "Allow"
}
]
}