最近更新时间:2022-01-12
权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。
紫光云使用权限来描述用户、用户组对具体资源的访问权限,下面为您介绍云资源、IAM用户、资源创建者所拥有的权限:
云账号(资源属主)控制所有权限
每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
资源属主不一定是资源创建者。例如:一个IAM用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
IAM用户(操作员)默认无任何权限
IAM用户代表的是操作员,其所有操作都需要被云账号显式授权。
新建的IAM用户默认没有任何操作权限,只有被授权之后,才能通过控制台或OpenAPI操作资源。
资源创建者(IAM用户)默认对所有资源没有任何权限
IAM用户被授予创建资源的权限,用户将可以创建资源。
IAM用户默认对所创建的资源没有任何权限,除非资源属主对IAM用户有显式的授权。
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
目前IAM仅支持系统策略,即统一由紫光云创建,用户只能使用不能修改,策略的版本更新由紫光云维护。
通过为IAM用户、用户组或IAM角色绑定权限策略,可以获得权限策略中指定的访问权限。
为IAM主体授权,指为用户、用户组绑定一个或多个权限策略。
目前仅支持绑定系统策略。
如果绑定的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。
紫光云提供了全局服务与项目及服务两种作用范围的授权,您可以根据需要选择合理的授权范围。
全局服务授权模型
全局服务:访问全局服务时,不需要切换区域。授权后在全局区域生效。如CDN。
项目级服务授权模型
项目级服务授权:授权后只在授权项目生效。如需要在所有项目都生效,请选择所有项目。如弹性云主机(ECS)。
admin用户组:加入admin用户组的IAM用户,权限等同于云账号的权限。