最近更新时间:2021-03-08
权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。
紫光云使用权限来描述用户、用户组对具体资源的访问权限,下面为您介绍云资源、IAM用户、资源创建者所拥有的权限:
云账号(资源属主)控制所有权限。
每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
资源属主不一定是资源创建者。例如:一个IAM用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
IAM用户(操作员)默认无任何权限。
IAM用户代表的是操作员,其所有操作都需要被云账号显式授权。
新建的IAM用户默认没有任何操作权限,只有被授权之后,才能通过控制台或OpenAPI操作资源。
资源创建者(IAM用户)默认对所有资源没有任何权限。
IAM用户被授予创建资源的权限,用户将可以创建资源。
IAM用户默认对所创建的资源没有任何权限,除非资源属主对IAM用户有显式的授权。
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
目前IAM仅支持系统策略,即统一由紫光云创建,用户只能使用不能修改,策略的版本更新由紫光云维护。
通过为IAM用户、用户组或IAM角色绑定权限策略,可以获得权限策略中指定的访问权限。
为IAM主体授权,指为用户、用户组绑定一个或多个权限策略。
目前仅支持绑定系统策略。
如果绑定的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。
紫光云提供了云账号内授权和资源组内授权两级授权能力,您可以根据需要选择合理的授权模型。
云账号内授权:对一个IAM身份主体添加权限策略时,该策略的可授权范围是云账号内的所有资源,这是最常见的一种权限模型。
资源组内授权:在某个资源组内对一个IAM身份主体添加权限策略时,该策略的可授权范围仅仅是该资源组内的资源。
管理员:在资源组内拥有AdministratorAccess系统策略的用户,资源组创建者默认为管理员。资源组管理员可以在资源组的成员管理中添加其他的IAM用户,并在资源组内进行授权。
1、 云账号登录IAM控制台。
2、 在左侧导航栏菜单中,单击【策略】。
3、 策略列表选择一条策略,单击策略名称,可查看策略详情。
4、 单击【已关联对象】可查看当前策略绑定的实体对象。
1、 云账号登录IAM控制台。
2、 在左侧导航栏菜单中,单击【策略】。
3、 策略列表选择一条策略,单击策略名称,可查看策略详情。
4、 单击【已关联对象】可查看当前策略关联的实体对象。
5、 已关联对象列表中选择对象,单击对象名称,可进入对象的详情页面。
6、 已关联对象列表中选择对象,单击【解除关联】可解除策略与该实体对象的关联关系。
