跳到主要内容

25 篇文档带有标签「访问控制」

查看所有标签

CIAM基本概念

账户是资源归属、资源使用计量计费主体。当用户开始使用云服务时,首先需要注册一个账户。账户为其名下所拥有的资源付费,并对其名下所有资源拥有完全权限。

Policy基本元素

Policy(权限策略)是用来描述授权的具体内容的,主要包含效力(Effect)、资源(Resource)、对资源所授予的操作权限(Action)这几个基本元素。

Policy语法结构

Policy结构包括Policy版本号及授权语句列表。每个授权语句又包含Effect(授权类型)、Resource(资源列表)、Action(对资源所授予的操作权限列表)。

云主机策略示例

当您需要授权某个子用户对2台云主机的开机/关机/重启的操作权限时,您可以这样编辑策略

云硬盘策略示例

当您需要授权某个子用户“对1块硬盘的快照管理权限”时,您可以这样编辑策略

什么是CIAM?

身份和访问控制管理系统,实现用户的身份认证和资源访问控制

创建子用户

创建子用户由主账户进行操作。因此必须先有主账户。

创建自定义权限策略

预设策略是平台默认提供的粗粒度的访问控制策略,比如当前用户所有云主机的只读权限或所有权限。如果您有更细粒度的授权需求,那么您可以通过创建自定义策略来进行访问控制

子用户管理

如果有新的用户或应用程序需要访问您的云资源,您可能需要创建CIAM用户并授权。

授权常见问题

如果您需要把您名下某类产品的全部权限授权给子用户,建议直接使用系统策略

授权管理

通过给子用户或用户组附加权限策略,子用户或用户组中的所有子用户就能获得权限策略中指定的云资源的访问权限。

权限检查规则

如果主账号是资源Owner,则允许访问;否则不允许访问。

特殊操作的权限组合

当您需要给子用户授权某些特定操作的权限时,由于有些操作涉及不同类型资源,您在授权时可能会有遗漏,导致子用户无法正常操作。以下列出了涉及不同类型资源的操作,以及需要授权的权限。

用户组管理

如果您的主账户下创建了多个CIAM子用户,为了简化多个子用户和权限的管理,建议您通过用户组来管理。

给子用户授权

直接授权给子用户;通过授权给用户组来给子用户授权

负载均衡器策略示例

当您需要授权某个子用户“创建/查看负载均衡器的后端服务”的权限时,您可以这样编辑策略