IAM 授权概述--云堡垒机-火山引擎

文档中心

云堡垒机

授权管理

IAM 授权概述

Identity and Access Management（IAM）是基于身份的权限控制，系统包含了不同产品模块的 IAM 预设策略。云堡垒机的用户授权提供 IAM 授权，在多用户协同管理资源的场景下，IAM 子用户操作云堡垒机资源时，需要授予相应的权限和策略。

说明

云堡垒机为子用户配置 IAM 权限的方法参见：配置 IAM 权限。

系统预设策略

系统预设策略统一由火山引擎创建，只能使用不能修改，策略的版本更新由火山引擎维护，云堡垒机提供 5 种系统预设策略。

策略	人员类型	策略描述
VBHFullAccess	管理员	云堡垒机控制台全读写权限，包含云堡垒机全读写权限和堡垒机依赖资源的 API 能力。集云堡垒机管理、运维、审计和依赖资源管理权限于一体。拥有该策略的用户，不仅能够管理云堡垒机服务中的所有资源（包括：增删改），还能够管理云堡垒机依赖资源，例如：VPC、ECS 等。
VBHInnerFullAccess	管理员	云堡垒机全读写权限。拥有该策略的用户，不仅能够查看云堡垒机服务中的所有资源，还能够管理云堡垒机服务中的资源，包括：增删改。
VBHReadOnlyAccess	只读用户	云堡垒机只读权限。拥有该策略的用户，能够查看云堡垒机服务中的所有资源，但不能对资源进行管理。
VBHAduitOnlyAccess	审计人员	云堡垒机审计员权限。拥有该策略的用户，仅能够登录云堡垒机查看授权资源运维审计相关信息。
VBHOperateOnlyAccess	运维人员	云堡垒机运维员权限。拥有该策略的用户，仅能够登录云堡垒机对授权资源进行运维操作。

用户自定义策略

自定义策略是由用户创建的更精细化描述资源管理的权限集合，可以灵活满足用户的差异化权限管理需求，用户可自主创建、更新和删除策略，以及维护策略的版本。自定义策略通过 JSON 格式的 PolicyDocument 表达，由一系列 Statement 组成，Statement 由 Effect、Action、Resource 组成，详细写作语法参见：策略语法。

以下是云堡垒机中普通用户权限的策略示例，具体自定义策略可按需配置。

{
    "Statement": [
        {
            "Action": [
                "vbh:*"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:DescribeZones"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeSecurityGroups",
                "vpc:DescribeSubnets",
                "vpc:DescribeVpcs",
                "vpc:InnerDescribeSecurityGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "cloud_trail:LookupEvents"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

最近更新时间：2024.07.05 10:37:09

这个页面对您有帮助吗？

有用

无用