創建用戶并授權使用DCS

如果您(nin)需要對您(nin)所擁有的(de)DCS服(fu)務(wu)進行(xing)精細的(de)權限管理，您(nin)可以(yi)使用統(tong)一身份認(ren)證服(fu)務(wu)（Identity and Access Management，簡稱IAM），通過IAM，您(nin)可以(yi)：

• 根據企業的業務組織，在您的帳號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用DCS資源。
• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。
• 將DCS資源委托給更專業、高效的其他帳號或者云服務，這些帳號或者云服務可以根據權限進行代運維。

如果帳號已(yi)經(jing)能滿足您(nin)的要求，不需要創建獨立的IAM用(yong)戶，您(nin)可(ke)以(yi)跳過本章節，不影響您(nin)使(shi)用(yong)DCS服務的其它功能。

本(ben)章(zhang)節以(yi)創建(jian)用(yong)戶(hu)并授予“DCS ReadOnlyAccess”權(quan)限為例(li)，為您介紹對用(yong)戶(hu)授權(quan)的方法，操(cao)作流程如下圖所示。

前提條件

給用戶組授權之前，請您了解用戶組可以添加的DCS系統策略，并結合實際需求進行選擇，DCS支持的系統策略及策略間的對比，請參見權限管理。若您需(xu)要對除DCS之外的(de)其它服務(wu)授(shou)權(quan)，IAM支持服務(wu)的(de)所有策(ce)略請(qing)參見權(quan)限集。

示例流程

給用(yong)戶授權DCS權限流(liu)程(cheng)

1.創建用戶組并授(shou)權。

在IAM控制臺創建用(yong)戶組，并授予分(fen)布式(shi)緩存服務的只(zhi)讀權限(xian)“DCS ReadOnlyAccess”。

2.創建用戶并(bing)加入用戶組。

在IAM控制臺創建(jian)(jian)用(yong)戶(hu)，并將其加入1中創建(jian)(jian)的用(yong)戶(hu)組。

3.用戶登錄并驗(yan)證權限。

新創建的用戶登(deng)錄控制(zhi)臺，驗證分布(bu)式緩存(cun)服務的只讀權(quan)限。

DCS自定義策略

如果系統(tong)預(yu)置的(de)(de)DCS權限(xian)，不滿足您(nin)的(de)(de)授權要求(qiu)，可(ke)以創建自定義策略。

DCS的支持(chi)自定義(yi)策略(lve)授權項(xiang)如下表所示。

DCS授權項明細

目前云服(fu)務平臺支持以下兩種(zhong)方式創(chuang)建自定義策略：

• 可視化視圖創建自定義策略：無需了解策略語法，按可視化視圖導航欄選擇云服務、操作、資源、條件等策略內容，可自動生成策略。
• JSON視圖創建自定義策略：可以在選擇策略模板后，根據具體需求編輯策略內容；也可以直接在編輯框內編寫JSON格式的策略內容。

本章為您介紹(shao)常用的DCS自定義策略(lve)樣例(li)。

                  

                    
說明
                    
由于緩存的(de)存在，對用戶、用戶組以及(ji)企(qi)業項目授予OBS相關的(de)細(xi)粒(li)度策(ce)略后，大(da)概需要等待5分鐘細(xi)粒(li)度策(ce)略才能生效。
                    
                  
                  

DCS自定義策略樣例

• 示例1：授權用戶刪除緩存實例、重啟實例及清空實例數據。

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                " 
                     dcs:instance:delete 
                     dcs:instance:modifyStatus 
                 " 
            ] 
        } 
    ] 
}

• 示例2：拒絕用戶刪除緩存實例

拒絕策(ce)略需要(yao)同(tong)時配合其他(ta)策(ce)略使用，否則沒有實際作(zuo)用。用戶被授(shou)予的(de)策(ce)略中(zhong)，一個授(shou)權(quan)項(xiang)的(de)作(zuo)用如果同(tong)時存在(zai)Allow和Deny，則遵循Deny優(you)先。

如(ru)果您給用戶(hu)授(shou)予DCS FullAccess的系統策(ce)略(lve)，但不希望用戶(hu)擁有(you)DCS FullAccess中定(ding)義的刪(shan)(shan)除緩(huan)存實(shi)例權限(xian)，您可以創建一條拒(ju)絕(jue)刪(shan)(shan)除緩(huan)存實(shi)例的自定(ding)義策(ce)略(lve)，然(ran)后同(tong)時(shi)將(jiang)DCS FullAccess和拒(ju)絕(jue)策(ce)略(lve)授(shou)予用戶(hu)，根據Deny優(you)先原(yuan)則(ze)，則(ze)用戶(hu)可以對DCS執行除了刪(shan)(shan)除緩(huan)存實(shi)例外的所有(you)操作(zuo)。拒(ju)絕(jue)策(ce)略(lve)示例如(ru)下：

{ 
        "Version": "1.1", 
        "Statement": [ 
                { 
                        "Effect": "Deny", 
                        "Action": [ 
                                "dcs:instance:delete" 
                        ] 
                } 
        ] 
}