用戶身份、角色、策略說明

用戶在天翼云注冊后自動創建主用戶，該用戶對其所擁有的資源具有完全的訪問權限，擁有重置用戶密碼、分配用戶等權限。若需多人共同使用天翼云資源，為確保賬號安全，建議創建子用戶來進行日常管理工作。子用戶是由擁有IAM權限的用戶在用戶管理中心創建，創建初期是沒有任何權限，需要先創建用戶組授予相應的策略并把創建的用戶加到用戶組，才能使得用戶組中的用戶獲得對應的權限，這一過程稱為授權。授權后，用戶就可以基于被授予的權限對云服務進行操作。

根據授權分為角色、委托和策略。

角色：權限控制針對所有天翼云用戶，IAM需要識別訪問者的角色身份并賦予相應的委托權限策略。

委托：包括用戶和用戶之間的委托等操作用戶的資源屬于委托的范疇。

策略：是描述一組權限集的語言，它可以精確地描述被授權的資源集和操作集，通過策略，用戶可以自由搭配需要授予的權限集。通過給用戶組授予策略，用戶組中的用戶就能獲得策略中定義的權限。

云防火墻的身份認證與訪問控制

天翼云云防火墻（原生版）已經對接了統一身份認證服務（Identity and Access Management，IAM）服務。通過IAM的權限定義可實現對云資源權限的訪問控制。

通過IAM，可以將用戶加入到一個用戶組中，并用策略來控制他們對云資源的訪問范圍，也可以將用戶加入到企業項目中，為用戶賦予企業項目的權限。

云防火墻角色

云防火墻角色如下表：

CFW admin 策略內容

{
"Version": "1.0",
"Statement": [
{
"effect": "Allow",
"action": [
"cfw:agent:download",
"cfw:agent:query",
"cfw:app:query",
"cfw:app:reload",
"cfw:blackWhitePolicy:add",
"cfw:blackWhitePolicy:delete",
"cfw:blackWhitePolicy:query",
"cfw:blackWhitePolicy:update",
"cfw:dpi:query",
"cfw:firewall:add",
"cfw:firewall:delete",
"cfw:firewall:destroy",
"cfw:firewall:query",
"cfw:firewall:update",
"cfw:flowLog:add",
"cfw:flowLog:query",
"cfw:heartBeat:query",
"cfw:igw:query",
"cfw:ipsRule:query",
"cfw:ipsRule:update",
"cfw:logSetting:query",
"cfw:logSetting:add",
"cfw:operationLog:query",
"cfw:whiteList:add",
"cfw:whiteList:delete",
"cfw:whiteList:update",
"cfw:whiteList:query",
"cfw:systemSecPolicy:add",
"cfw:systemSecPolicy:delete",
"cfw:systemSecPolicy:query",
"cfw:systemSecPolicy:update",
"cfw:systemVrfBind:query",
"cfw:systemVrfBind:update",
"cfw:report:query",
"cfw:report:download",
"cfw:report:update",
"cfw:report:",
"cfw:alarm:query",
"cfw:alarm:update",
"cfw:notification:query",
"cfw:notification:update",
"cfw:logManager:query",
"cfw:logManager:update",
"cfw:logManager:download"
]
}
]
}

CFW Viewer 策略內容

{
"Version": "1.0",
"Statement": [
{
"effect": "Allow",
"action": [
"cfw:agent:query",
"cfw:app:query",
"cfw:blackWhitePolicy:query",
"cfw:dpi:query",
"cfw:firewall:query",
"cfw:flowLog:query",
"cfw:heartBeat:query",
"cfw:igw:query",
"cfw:ipsRule:query",
"cfw:logSetting:query",
"cfw:operationLog:query",
"cfw:whiteList:query",
"cfw:systemSecPolicy:query",
"cfw:systemVrfBind:query",
"cfw:report:query",
"cfw:alarm:query",
"cfw:notification:query",
"cfw:logManager:query"
]
}
]
}