最近更新时间:2024.02.05 15:29:14
首次发布时间:2022.09.02 08:52:39
当需要由不同的用户对云上资源进行管理时,您可以使用火山引擎提供的访问控制 IAM (Identity and Access Management)服务,创建不同的子用户并为其配置不同的权限,实现资源的分权管理,提高管理效率,降低信息泄露风险。更多关于访问控制服务的介绍可参见访问控制。
本文介绍通过IAM用户使用私有网络服务时的权限设置和管理操作。
| 名词 | 说明 |
|---|---|
| 主账号 | 当您在火山引擎官网完成账号注册后,您就拥有了一个主账号。主账号默认拥有账号下所有OpenAPI调用权限和控制台的操作权限,能够对资源进行购买、续费、退订、升级等操作,拥有资源的订单、账单。 |
| 子用户 | 子用户是访问控制的一种身份,由主账号(Account)或是拥有权限的用户创建并授予相应的权限,更多信息请参见用户管理。 |
| 用户组 | 子用户的一个集合,同一个IAM用户可存在于多个用户组中。用户组的权限由被关联的策略决定,当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限,更多信息请参见用户组管理、策略管理。 |
| 角色 | 角色无法直接访问云服务,角色需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源,更多信息请参见角色管理。 |
| 策略 | 策略是对权限的一种描述,IAM提供基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。不论是用户、用户组还是角色,都需要通过关联策略来赋予权限。 |
| 项目 | 项目管理是火山引擎提供的一种资源管理方式,即您可以对不同业务或项目使用的云资源进行分组管理。基于项目(即一组资源)进行IAM授权,有利于维护资源独立、数据安全;同时可从项目维度查看资源消费账单,便于计算云资源使用成本。更多信息请参见 项目概述 。 |
新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使子用户或用户组有某些云资源的操作权限。IAM支持系统预设和自定义两种类型的策略。
| 策略名称 | 描述 | 支持的操作 |
|---|---|---|
| VPCFullAccess | 私有网络(VPC)全读写策略 | 私有网络的管理权限,包括创建、查看、删除相关资源等操作。 |
| VPCReadOnlyAccess | 私有网络(VPC)只读策略 | 私有网络的只读权限,只可查看相关资源。 |
| 授权参数 | 说明 | 取值示例 |
|---|---|---|
| Effect | 策略产生的结果,支持Allow和Deny。 | Allow |
Action | 策略的具体操作,由云服务的英文名称和操作名称两部分组成,格式为: | vpc:CreateVpc |
Resource | 指定操作(Action)作用的资源,以Trn的形式配置,格式为:
| trn:vpc:cn-beijing:210005****:vpc/vpc-2femvejr0l88w59gp67zw**** |