統一身份認證（二類節點）

無相關產品

權限基本概念

更新時間 2023-12-13 10:50:54

最近更新時間: 2023-12-13 10:50:54

本節主要介紹權限基本概念

權限

默認情況下，管理員創建的IAM子用戶沒有任何權限，需要將其加入用戶組，并給用戶組授予策略或角色，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

權限根據授權精細程度分為角色和策略。

角色： IAM最初提供的一種根據用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度，提供有限的服務相關角色用于授權。由于天翼云各服務之間存在業務依賴關系，因此給用戶授予角色時，可能需要一并授予依賴的其他角色，才能正確完成業務。角色不能完全滿足用戶對精細化授權的要求，無法完全達到企業對權限最小化的安全管控要求。
策略： IAM最新提供的一種細粒度授權的能力，可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式，能夠滿足企業對權限最小化的安全管控要求。例如：針對ECS服務，管理員能夠控制IAM用戶僅能對云主機資源進行某一類指定的管理操作。

策略根據創建的對象，分為系統策略和自定義策略。

云服務在IAM預置了常用授權項，稱為系統策略。管理員給用戶組授權時，可以直接使用這些系統策略，系統策略只能使用，不能修改。

如果管理員在IAM控制臺給用戶組或者委托授權時，無法找到特定服務的系統策略，原因是該服務暫時不支持IAM。

如果系統策略無法滿足授權要求，管理員可以根據各服務支持的授權項，創建自定義策略，并通過給用戶組授予自定義策略來進行精細的訪問控制，自定義策略是對系統策略的擴展和補充。目前IAM支持可視化視圖、JSON視圖兩種自定義策略配置方式。