如果您需要對云服務平臺上的云監控服務資源，給企業中的員工設置不同的訪問權限，以達到不同員工之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全地控制云服務資源的訪問。

通過IAM，您可以在賬號中給員工創建IAM用戶，并使用策略來控制他們對云服務資源的訪問范圍。例如您的員工中有負責軟件開發的人員，您希望他們擁有云監控服務的使用權限，但是不希望他們擁有刪除其他云服務資源等高危操作的權限，那么您可以使用IAM為開發人員創建用戶，通過授予僅能使用云監控服務，但是不允許刪除其他云服務資源的權限策略，控制他們對其他云服務資源的使用范圍。

如果賬號已經能滿足您的要求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用云監控服務的其它功能。

IAM是云服務平臺提供權限管理的基礎服務，無需付費即可使用，您只需要為您賬號中的資源進行付費。關于IAM的詳細介紹，請參見《統一身份認證服務》。

云監控服務權限

默認情況下，新建的IAM用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

云監控服務部署時通過物理區域劃分，為項目級服務，需要在各區域對應的項目中設置策略，并且該策略僅對此項目生效，如果需要所有區域都生效，則需要在所有項目都設置策略。訪問云監控服務時，需要先切換至授權區域。

權限根據授權精細程度分為角色和策略。

• 角色：IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于云服務平臺各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色并不能滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。

• 策略：IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對云監控服務，管理員能夠控制IAM用戶僅能對某一類云監控資源進行指定的管理操作。

如下表所示，包括了云監控服務的所有系統權限。

表 云監控服務系統權限

下表列出了云監控服務常用操作與系統權限的授權關系，您可以參照該表選擇合適的系統權限。

表 常用操作與系統權限的關系

創建用戶并授權使用云監控服務

如果您需要對您所擁有的云監控服務進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM），通過IAM，您可以：

• 根據企業的業務組織，在您的賬號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用云監控服務。

• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。

• 將云監控服務的相關操作委托給更專業、高效的其他賬號或者云服務，這些賬號或者云服務可以根據權限進行代運維。

如果賬號已經能滿足您的要求，不需要創建獨立的IAM用戶，您可以跳過本章節，不影響您使用云監控服務的其它功能。

前提條件

給用戶組授權之前，請您了解用戶組可以添加的云監控服務系統策略，并結合實際需求進行選擇。

示例流程

圖 給用戶授權CES權限流程

1. 創建用戶組并授權，在IAM控制臺創建用戶組，并授予云監控服務權限“CES Administrator”、“Tenant Guest”和“Server Administrator”。

   說明

   • 云監控服務是區域級別的服務，通過物理區域劃分，授權后只在授權區域生效，如果需要所有區域都生效，則所有區域都需要進行授權操作。針對全局設置的權限不會生效。

   • 以上權限為云監控服務的全部權限，如您期望更精細化的云監控服務功能的權限，請參見云監控權限管理介紹，對用戶組授予對應權限。

2. 在IAM控制臺創建用戶，并將其加入步驟1中創建的用戶組。

3. 用戶登錄并驗證權限，新創建的用戶登錄云監控服務管理控制臺，驗證云監控服務的“CES Administrator”權限：使用相關功能過程中，如果沒有出現用戶鑒權失敗的提示信息，表示用戶授權成功。

自定義策略

如果系統預置的云監控服務權限，不滿足您的授權要求，可以創建自定義策略。

目前云服務平臺支持以下兩種方式創建自定義策略：

• 可視化視圖創建自定義策略：無需了解策略語法，按可視化視圖導航欄選擇云服務、操作、資源、條件等策略內容，可自動生成策略。

• JSON視圖創建自定義策略：可以在選擇策略模板后，根據具體需求編輯策略內容；也可以直接在編輯框內編寫JSON格式的策略內容。

具體創建步驟請參見《統一身份認證服務》幫助中心的“創建自定義策略”章節。本章為您介紹常用的云監控服務自定義策略樣例。

• 示例1：授權用戶擁有云監控服務修改告警規則的權限。

{ 
      "Version": "1.1", 
      "Statement": [ 
            { 
                  "Action": [                        
                        "ces:alarms:put" 
                  ], 
                  "Effect": "Allow" 
            } 
      ] 
}

• 示例2：拒絕用戶刪除告警規則。

拒絕策略需要同時配合其他策略使用，否則沒有實際作用。用戶被授予的策略中，一個授權項的作用如果同時存在Allow和Deny，則遵循Deny優先原則。

如果您給用戶授予CES FullAccess的系統策略，但不希望用戶擁有CES FullAccess中定義的刪除告警規則權限，您可以創建一條拒絕刪除告警規則的自定義策略，然后同時將CES FullAccess和拒絕策略授予用戶，根據Deny優先原則，則用戶可以對CES執行除了刪除告警規則外的所有操作。拒絕策略示例如下：

{ 
      "Version": "1.1", 
      "Statement": [ 
            { 
                  "Action": [                        
                        "ces:alarms:delete" 
                  ], 
                  "Effect": "Deny" 
            } 
      ] 
}

• 示例3：授權用戶擁有告警規則所有操作權限(告警規則的創建，修改，查詢，刪除)。

一個自定義策略中可以包含多個授權項，且除了可以包含本服務的授權項外，還可以包含其他服務的授權項，可以包含的其他服務必須跟本服務同屬性，即都是項目級服務或都是全局級服務。多個授權語句策略描述如下：

{ 
      "Version": "1.1", 
      "Statement": [ 
            { 
                  "Action": [                        
                        "ces:alarms:put", 
                        "ces:alarms:create", 
                        "ces:alarms:list", 
                        "ces:alarms:delete" 
                  ], 
                  "Effect": "Allow" 
            } 
      ] 
}