最近更新时间:2022.11.08 18:58:52
首次发布时间:2022.09.02 08:49:20
当需要由不同的用户对云上资源进行管理时,您可以使用火山引擎提供的访问控制 IAM (Identity and Access Management)服务,创建不同的子用户并为其配置不同的权限,实现资源的分权管理,提高管理效率,降低信息泄露风险。更多关于访问控制服务的介绍可参见访问控制。
本文介绍通过IAM用户使用负载均衡服务时的权限设置和管理操作。
| 名词 | 说明 |
|---|---|
| 主账号 | 当您在火山引擎官网完成账号注册后,您就拥有了一个主账号。主账号默认拥有账号下所有OpenAPI调用权限和控制台的操作权限,能够对资源进行购买、续费、退订、升级等操作,拥有资源的订单、账单。 |
| 子用户 | 子用户是访问控制的一种身份,由主账号(Account)或是拥有权限的用户创建并授予相应的权限,更多信息请参见用户管理。 |
| 用户组 | 子用户的一个集合,同一个IAM用户可存在于多个用户组中。用户组的权限由被关联的策略决定,当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限,更多信息请参见用户组管理、策略管理。 |
| 角色 | 角色无法直接访问云服务,角色需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源,更多信息请参见角色管理。 |
| 策略 | 策略是对权限的一种描述,IAM提供基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。不论是用户、用户组还是角色,都需要通过关联策略来赋予权限。 |
| 项目 | 项目是一组资源的集合。创建云产品资源的时候,可选择将资源放置在指定的项目中,还可以在资源管理控制台中,对项目内的资源进行查询以及迁入、迁出操作,更多信息请参见项目管理。 |
新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使用户或用户组有某些云资源的操作权限。IAM支持系统预设和自定义两种类型的策略。
| 策略名称 | 描述 | 支持的操作 |
|---|---|---|
| CLBFullAccess | 负载均衡(CLB)全读写策略 | 负载均衡的管理权限,包括创建、查看、删除相关资源等操作。 |
| CLBReadOnlyAccess | 负载均衡(CLB)只读策略 | 负载均衡的只读权限,只可查看相关资源。 |
| 授权参数 | 说明 | 取值示例 |
|---|---|---|
| Effect | 策略产生的结果,支持Allow和Deny。 | Allow |
Action | 策略的具体操作,由云服务的英文名称和操作名称两部分组成,格式为: | clb:CreateloadBalancer |
Resource | 指定操作(Action)作用的资源,以Trn的形式配置,格式为:
| trn:clb:cn-beijing:210005****:clb/clb-2femvejr0l88w59gp67zw**** |