/ / / / 控制台权限
更新时间:2025-02-24 gmt 08:00

控制台权限-九游平台

默认情况下,新创建的iam用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。

工业数字模型驱动引擎(industrial digital model engine,简称idme)部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择 “区域级项目”,然后在指定区域(如华北-北京4)对应的项目(cn-north-4)中设置相关权限,并且该权限仅对此项目生效。如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问idme时,需要先切换至授权区域。

权限根据授权精细程度分为角色和策略。
  • 角色:iam最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
  • 策略:iam最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对idme服务,租户(domain)能够控制用户仅能对应用进行指定的管理操作。多数细粒度策略以api接口为粒度进行权限拆分,idme支持的api授权项请参见。

在进行iam授权时,系统将根据用户选择的策略自动推荐授权范围方案,方便用户选择合适的授权作用范围。您可以根据实际情况,分别为用户组的企业项目视图和iam项目视图配置不同的iam策略,从而实现权限最小化原则的精准授权,降低资源操作过程中的风险。表1为idme支持的所有授权范围方案。

表1 授权范围方案

可选方案

方案说明

所有资源

授权后,iam用户可以根据权限使用账号中所有idme资源,包括企业项目、区域项目和全局服务资源。

指定企业项目资源

选择指定企业项目,iam用户可以根据权限使用该企业项目中的idme资源。仅开通企业项目后可选。

如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:。

基于iam能力的授权遵循最大权限优先授权规则。如果用户同时获得idme多个策略的授权,且这些策略的授权范围方案不同时,将根据该用户具有的最高权限进行授权,确保用户可以在其权限范围内进行最广泛的操作,从而充分利用其权限。请注意,授权访问策略中的部分action不支持企业项目维度的权限隔离,例如iam:users:listusers。

表2所示,包括了idme提供的所有系统策略。

表2 idme系统策略

策略名称

描述

策略类别

idme appoperationaccess

工业数字模型驱动引擎服务应用管理权限,拥有创建和修改应用的权限。

系统策略

idme envoperationaccess

工业数字模型驱动引擎服务运行环境管理权限,拥有部署和卸载应用的权限。

系统策略

idme readonlyaccess

工业数字模型驱动引擎服务的只读策略,拥有应用列表、运行服务列表的只读权限。

系统策略

idme fullaccess

工业数字模型驱动引擎服务所有权限。

系统策略

idme appoperationaccess

{
    "version": "1.1",
    "statement": [
        {
            "action": [
                "dme:apps:get",
                "dme:apps:create",
                "dme:apps:modify",
                "dme:envs:get",
                "iam:users:listusers",
                "vpc:publicips:get",
                "dme:tag:listtagsforresource"
            ],
            "effect": "allow"
        }
    ]
}

idme envoperationaccess

{
    "version": "1.1",
    "statement": [
        {
            "action": [
                "dme:apps:get",
                "dme:envs:get",
                "dme:envs:deployapp",
                "dme:envs:destroyapp",
                "vpc:publicips:get",
                "dme:tag:listtagsforresource"
            ],
            "effect": "allow"
        }
    ]
}

idme readonlyaccess

{
    "version": "1.1",
    "statement": [
        {
            "action": [
                "dme:apps:get",
                "dme:envs:get",
                "vpc:publicips:get",
                "dme:tag:listtags",
                "dme:tag:listtagsforresource",
                "dme:tag:listresourcesbytag",
                "vpc:publicips:list"
            ],
            "effect": "allow"
        }
    ]
}

idme fullaccess

{
    "version": "1.1",
    "statement": [
        {
            "action": [
                "dme:apps:*",
                "dme:envs:*",
                "iam:users:listusers",
                "vpc:vpcs:list",
                "vpc:securitygroups:get",
                "vpc:subnets:get",
                "vpc:publicips:get",
                "vpc:publicips:list",
                "vpc:publicips:update",
                "dme:tag:*"
            ],
            "effect": "allow"
        }
    ]
}

相关文档

父主题:

相关文档

网站地图