云服务器ECS支持通过IAM管理ECS资源与操作的访问权限,进行更精细的权限管理。本文介绍IAM身份类型、权限策略、服务角色等信息。
使用火山引擎资源之前,您需要先进行账号注册,注册完成后会获得一个火山引擎主账号,主账号默认拥有该账号下所有云资源的全部管理权限。为确保账户安全,火山引擎提供访问控制(Identity and Access Management,IAM)服务,用于控制不同用户身份对云资源的访问权限。您可以通过主账号创建IAM用户、IAM用户组和IAM角色并为其添加使用云服务器资源的权限,实现多重身份管理、精细化权限控制等。有关访问控制的更多介绍,请参见访问控制-产品介绍。
IAM用户是一种实体身份类型,由主账号或具备管理员权限的IAM用户创建。新创建的IAM用户无任何权限,需要被授权后才能访问及操作云资源。
IAM用户组用于对职责相同的IAM用户进行分类,从而提升IAM用户及其权限的管理效率。当用户组被关联上策略后,同一用户组里的所有用户会拥有对应的策略权限,同一个用户可存在于多个用户组中,可同时拥有多个用户组的权限。
IAM角色是一种虚拟身份,不具备永久身份凭证,只能通过安全令牌服务(STS)获取可以自定义时效和访问权限的临时身份凭证。IAM角色需要被一个可信的实体身份扮演,扮演成功后,可信实体将获得IAM角色的临时访问凭证访问云资源。有关角色的更多信息,请参见角色管理。
说明
为了方便您进行跨服务授权,您在使用一些产品时,控制台可能会弹出跨服务授权页面引导您进行授权,此时您可单击“授权”按钮完成授权,授权成功后,系统将在您账号下自动创建服务关联角色。
创建服务关联角色时,您只需选择可信的云服务,云服务会自带预设的角色名称和权限策略。创建角色的具体操作,请参见新建角色。云服务器ECS支持如下服务关联角色。
| ECS服务关联角色 | 说明 |
|---|---|
| ServiceRoleForECS | ServiceRoleForECS角色具备一系列预设的权限策略,允许云服务器ECS访问您账号下指定的资源。 |
创建普通服务角色时,您需要自定义角色名称,选择受信服务,并自定义权限策略。
权限策略是用语法结构描述的一组权限的集合,支持精确地定义被权限的资源范围、操作范围以及权限生效条件,用于满足企业对权限最小化的安全管控要求。详细说明,请参考策略概述。IAM用户、用户组或角色均需通过关联策略来赋予权限。
为IAM身份添加权限策略时,需要选择权限策略的生效范围,当前支持如下两种权限范围:
全局权限
项目权限
IAM的权限策略分为 系统预设策略 和 自定义策略。
系统预设策略统一由火山引擎创建与维护,您只能使用,无法修改。云服务器ECS支持的系统预设策略包括以下两种。
| 系统预设策略名称 | 描述 |
|---|---|
| ECSFullAccess | 被授权该策略后的IAM身份,可获得权限范围内云服务器ECS的管理权限,包括创建、修改、删除、查看资源等操作。 |
| ECSReadOnlyAccess | 被授权该策略后的IAM身份,可获得权限范围内云服务器ECS的只读权限。仅可查看ECS相关资源,不可对资源进行任何管理操作,也不可查看其他未授权的云产品。 |
云服务器ECS的系统预设策略语法详情,请参见云服务器ECS的系统预设策略。
当系统预设策略无法满足实际场景需求时,您可以创建自定义策略,以实现权限的精细化、最小化管控。例如允许某个IAM用户修改ECS实例、允许或是禁止某个接口的操作权限。云服务器ECS相关的策略示例请参见ECS自定义策略示例。
您在创建自定义策略时,需根据实际需求设置策略元素,包括权限声明、效果、操作、资源、条件等,详见策略语法。其中,云服务器ECS支持的操作与资源,请参考可授权的操作、可授权的资源。
可授权的操作
基本格式为${ServiceCode}:${Action}。
${ServiceCode}为云产品的服务代码,云服务器ECS的ServiceCode为ecs。${Action}通常与云服务API的Action同值,云服务器API信息请参见API列表。可授权的资源
| 产品 | ServiceCode | 资源类型 | ResourceType | trn格式 |
|---|---|---|---|---|
| 云服务器 | ecs | 实例 | instance | trn:ecs:{region}:{account}:instance/{instanceid} |
| 密钥对 | keypair | trn:ecs:{region}:{account}:keypair/{keypairname} | ||
| 镜像 | image | trn:ecs:{region}:{account}:image/{imageid} |