如果您需要针对统一身份认证服务,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。
通过IAM,您可以使用主账号给员工创建IAM用户,并授权控制他们对资源的访问范围。例如您希望某些员工拥有IAM的查看权限,但是不希望他们拥有删除IAM用户、禁止用户登录等高危操作的权限,那么您可以使用IAM为项目规划人员创建IAM用户,通过授予仅能查看IAM,但是不允许使用IAM的权限,控制他们对IAM控制台的使用范围。
IAM权限
默认情况下,账号创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略及绑定范围,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM时,不需要切换区域。
IAM目前提供的系统策略
如下表所示,IAM目前提供的系统策略如下。
| 系统策略 | 描述 | 策略内容 |
|---|---|---|
| ctiam admin | 统一身份认证-管理员权限 | ctiam admin策略内容 |
| ctiam viewer | 统一身份认证-观察者权限 | ctiam viewer策略内容 |
常用操作与IAM系统策略的关系
下表列出了IAM常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
| 操作 | ctiam admin | ctiam viewer |
|---|---|---|
| 创建用户 | 有 | 无 |
| 注销用户 | 有 | 无 |
| 分页查询用户 | 有 | 有 |
| 编辑用户 | 有 | 无 |
| 查询用户详情 | 有 | 有 |
| 查询用户列表 | 有 | 有 |
| 创建用户组 | 有 | 无 |
| 注销用户组 | 有 | 无 |
| 分页查询用户组 | 有 | 有 |
| 编辑用户组 | 有 | 无 |
| 将用户移出用户组 | 有 | 无 |
| 将用户移入用户组 | 有 | 无 |
| 查询用户组详情 | 有 | 有 |
| 用户组授权 | 有 | 无 |
| 用户组取消权限 | 有 | 无 |
| 查询用户组权限 | 有 | 有 |
| 查询用户权限 | 有 | 有 |
| 分页查询权限 | 有 | 有 |
| 创建自定义策略 | 有 | 无 |
| 编辑自定义策略 | 有 | 无 |
| 删除自定义策略 | 有 | 无 |
| 查询所有策略 | 有 | 有 |
| 查询策略详情 | 有 | 有 |
| 创建密钥 | 有 | 无 |
| 查询密钥列表 | 有 | 有 |
| 创建委托角色 | 有 | 无 |
| 编辑委托角色 | 有 | 无 |
| 删除委托角色 | 有 | 无 |
| 分页查询委托角色 | 有 | 有 |
| 委托角色授权 | 有 | 无 |
| 取消角色授权 | 有 | 无 |
| 创建身份提供商 | 有 | 无 |
| 编辑身份提供商 | 有 | 无 |
| 删除身份提供商 | 有 | 无 |
| 分页查询身份提供商 | 有 | 有 |
| 查询身份提供商详情 | 有 | 有 |
| 查询配额列表 | 有 | 有 |
| 查询账户资源池 | 有 | 有 |
| 查询用户企业项目列表 | 有 | 有 |
| 为用户授权 | 有 | 无 |
| 查询委托角色详情 | 有 | 有 |
| 创建企业项目 | 有 | 无 |
| 修改企业项目 | 有 | 无 |
| 查询企业项目 | 有 | 有 |
| 启用停用项目 | 有 | 无 |
| 企业项目关联用户组分页查询 | 有 | 有 |
| 用户组与企业项目关联 | 有 | 无 |
| 查询企业项目用户组策略 | 有 | 有 |
| 移除企业项目关联用户组 | 有 | 无 |
| 设置企业项目所属用户组及策略 | 有 | 无 |
| 分页查询资源信息 | 有 | 有 |
| 资源迁入/迁出企业项目 | 有 | 无 |
| 资源上报 | 有 | 无 |
| 切换委托 | 有 | 无 |
| 重置密码 | 有 | 无 |
| 删除密钥 | 有 | 无 |
| 禁用ak | 有 | 无 |
| 启用ak | 有 | 无 |
| ak移入回收站 | 有 | 无 |
| ak从回收站恢复 | 有 | 无 |
| 查看敏感操作 | 有 | 有 |
| 授权企业项目 | 有 | 无 |
| 获取临时凭证 | 有 | 无 |
| 设置控制台访问控制策略 | 有 | 无 |
ctiam admin策略内容
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ctiam::"
],
"Effect": "Allow"
}
]
}
ctiam viewer 策略内容
{
"Version": "1.1",
"Statement": [
{
"Action": [
"ctiam:*:get",
"ctiam::get",
"ctiam:*:list",
"ctiam::list"
],
"Effect": "Allow"
}
]
}
