華為云計(jì)算 云知識(shí) 彈性云服務(wù)器ECS權(quán)限管理介紹
彈性云服務(wù)器ECS權(quán)限管理介紹
時(shí)間: 2020-04-07 16:52:49
猜你想看:
實(shí)時(shí)語音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

如果您需要對(duì)華為云上購買的ECS資源,給企業(yè)中的員工設(shè)置不同的訪問權(quán)限,以達(dá)到不同員工之間的權(quán)限隔離,您可以使用 統(tǒng)一身份認(rèn)證 服務(wù)(Identity and Access Management,簡(jiǎn)稱 IAM )進(jìn)行精細(xì)的權(quán)限管理。該服務(wù)提供用戶身份認(rèn)證、權(quán)限分配、訪問控制等功能,可以幫助您安全的控制華為云資源的訪問。

通過IAM,您可以在華為云賬號(hào)中給員工創(chuàng)建IAM用戶,并授權(quán)控制他們對(duì)華為云資源的訪問范圍。例如您的員工中有負(fù)責(zé)軟件開發(fā)的人員,您希望他們擁有ECS的使用權(quán)限,但是不希望他們擁有刪除ECS等高危操作的權(quán)限,那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶,通過授予僅能使用ECS,但是不允許刪除ECS的權(quán)限策略,控制他們對(duì)ECS資源的使用范圍。

如果華為云賬號(hào)已經(jīng)能滿足您的要求,不需要?jiǎng)?chuàng)建獨(dú)立的IAM用戶進(jìn)行權(quán)限管理,您可以跳過本章節(jié),不影響您使用ECS服務(wù)的其它功能。

ECS權(quán)限

默認(rèn)情況下,新建的IAM用戶沒有任何權(quán)限,您需要將其加入用戶組,并給用戶組授予策略或角色,才能使得用戶組中的用戶獲得對(duì)應(yīng)的權(quán)限,這一過程稱為授權(quán)。授權(quán)后,用戶就可以基于被授予的權(quán)限對(duì)云服務(wù)進(jìn)行操作。

ECS部署時(shí)通過物理區(qū)域劃分,為項(xiàng)目級(jí)服務(wù)。授權(quán)時(shí),“作用范圍”需要選擇“區(qū)域級(jí)項(xiàng)目”,然后在指定區(qū)域(如華北-北京1)對(duì)應(yīng)的項(xiàng)目(cn-north-1)中設(shè)置相關(guān)權(quán)限,并且該權(quán)限僅對(duì)此項(xiàng)目生效;如果在“所有項(xiàng)目”中設(shè)置權(quán)限,則該權(quán)限在所有區(qū)域項(xiàng)目中都生效。訪問ECS時(shí),需要先切換至授權(quán)區(qū)域。

權(quán)限根據(jù)授權(quán)精細(xì)程度分為角色和策略。

角色:IAM最初提供的一種根據(jù)用戶的工作職能定義權(quán)限的粗粒度授權(quán)機(jī)制。該機(jī)制以服務(wù)為粒度,提供有限的服務(wù)相關(guān)角色用于授權(quán)。由于華為云各服務(wù)之間存在業(yè)務(wù)依賴關(guān)系,因此給用戶授予角色時(shí),可能需要一并授予依賴的其他角色,才能正確完成業(yè)務(wù)。角色并不能滿足用戶對(duì)精細(xì)化授權(quán)的要求,無法完全達(dá)到企業(yè)對(duì)權(quán)限最小化的安全管控要求。

策略:IAM最新提供的一種細(xì)粒度授權(quán)的能力,可以精確到具體服務(wù)的操作、資源以及請(qǐng)求條件等?;诓呗缘氖跈?quán)是一種更加靈活的授權(quán)方式,能夠滿足企業(yè)對(duì)權(quán)限最小化的安全管控要求。例如:針對(duì)ECS服務(wù),管理員能夠控制IAM用戶僅能對(duì)某一類 云服務(wù)器 資源進(jìn)行指定的管理操作。多數(shù)細(xì)粒度策略以API接口為粒度進(jìn)行權(quán)限拆分,ECS支持的API授權(quán)項(xiàng)請(qǐng)參見ECS策略及授權(quán)項(xiàng)說明。

表1 ECS系統(tǒng)權(quán)限

策略名稱

描述

策略類別

策略內(nèi)容

ECS FullAccess

彈性云服務(wù)器管理員權(quán)限,擁有該權(quán)限的用戶可以擁有ECS的全部權(quán)限,包括創(chuàng)建、刪除、查詢、變更規(guī)格等操作。

系統(tǒng)策略

ECS FullAccess策略內(nèi)容

ECS CommonOperations

彈性云服務(wù)器普通用戶權(quán)限,擁有該權(quán)限的用戶可以執(zhí)行開機(jī)、關(guān)機(jī)、重啟、查詢彈性云服務(wù)器的操作。

系統(tǒng)策略

ECS CommonOperations策略內(nèi)容

ECS ReadOnlyAccess

彈性云服務(wù)器只讀權(quán)限,擁有該權(quán)限的用戶僅能查看彈性云服務(wù)數(shù)據(jù)。

系統(tǒng)策略

ECS ReadOnlyAccess策略內(nèi)容

Server Administrator

彈性云服務(wù)器的所有執(zhí)行權(quán)限,該角色有依賴,需要在同項(xiàng)目中勾選依賴的角色:Tenant Guest。

如果在操作過程中涉及其他服務(wù)資源的創(chuàng)建、刪除、變更等,則還需要在同項(xiàng)目中勾選對(duì)應(yīng)服務(wù)的Administrator權(quán)限。

例如:在控制臺(tái)創(chuàng)建ECS時(shí)如需創(chuàng)建新的VPC,則需額外授予創(chuàng)建VPC的VPC Administrator權(quán)限。

系統(tǒng)角色

Server Administrator策略內(nèi)容

表2列出了ECS常用操作與系統(tǒng)策略的授權(quán)關(guān)系,您可以參照該表選擇合適的系統(tǒng)策略。

表2 ECS操作與系統(tǒng)策略關(guān)系

操作

ECS FullAccess

ECS CommonOperations

ECS ReadOnlyAccess

創(chuàng)建彈性云服務(wù)器

x

x

控制臺(tái)遠(yuǎn)程登錄云服務(wù)器

x

查看彈性云服務(wù)器列表

查詢彈性云服務(wù)器詳情

修改彈性云服務(wù)器

x

x

啟動(dòng)彈性云服務(wù)器

x

關(guān)閉彈性云服務(wù)器

x

重啟彈性云服務(wù)器

x

刪除彈性云服務(wù)器

x

x

重裝操作系統(tǒng)

x

x

切換操作系統(tǒng)

x

x

彈性云服務(wù)器掛載磁盤

x

x

彈性云服務(wù)器卸載磁盤

x

x

查詢彈性云服務(wù)器磁盤列表

彈性云服務(wù)器掛載網(wǎng)卡

x

x

彈性云服務(wù)器卸載網(wǎng)卡

x

x

查詢彈性云服務(wù)器網(wǎng)卡列表

創(chuàng)建 鏡像

x

x

添加云服務(wù)器標(biāo)簽

x

變更彈性云服務(wù)器規(guī)格

x

x

查詢彈性云服務(wù)器規(guī)格列表

查詢?cè)品?wù)器組

更多關(guān)于內(nèi)容可參考:https://support.huaweicloud.com/productdesc-ecs/ecs_01_0059.html


彈性云服務(wù)器ECS權(quán)限管理介紹

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失??!請(qǐng)稍后重試!