You need to enable JavaScript to run this app.
导航
访问控制概述
最近更新时间:2024.02.29 14:34:35首次发布时间:2024.02.29 14:34:35

访问控制(Identity and Access Management,简称IAM)是火山引擎提供的一套权限管理系统,用于控制不同身份对云资源的访问权限。

本文介绍了IAM中涉及的主要概念。

主账号和IAM用户

主账号

使用火山引擎云服务前,您需要先注册一个火山引擎主账号。主账号对其名下的所有资源拥有完全控制权限,并为名下的所有资源付费。

默认情况下,只有主账号能够访问云资源。其他IAM身份如果需要访问云资源,均需要获得主账号的授权。

IAM用户

IAM用户是一种IAM身份类型。您可以使用主账号创建IAM用户并为其授予限定的资源访问权限。

策略

策略可以被看作是逻辑层面的权限集合。当IAM用户需要访问云资源时,您需要先为其关联策略来实现授权。

策略类型

IAM支持两种类型的策略:系统预设策略和自定义策略。

  • 系统预设策略:是由火山引擎创建和管理的权限集合。系统预设策略只能用于授权,您无法对其进行编辑和修改。
  • 自定义策略:是由您创建和管理的权限集合。当系统预设策略不能满足要求时,您可以按需创建自定义策略,对权限进行细粒度的定义。

系统预设策略

边缘计算节点相关的系统预设策略如下表所示。

系统预设策略

说明

推荐场景

VeenFullAccess

边缘计算节点的全部管理权限(读写权限)。

允许IAM用户操作边缘计算节点下的资源。

VeenReadOnlyAccess

边缘计算节点的只读权限。

只允许IAM用户查看边缘计算节点下的资源。

边缘计算节点相关的系统预设策略可作用于边缘计算节点下的各类资源。但是,如果允许IAM用户使用边缘监控功能来创建报警规则,您还需要为其配置边缘监控相关的策略。

边缘监控相关的系统预设策略如下表所示。

系统预设策略

说明

推荐场景

EdgeMonitorFullAccess

边缘监控的全部管理权限(读写权限)。

允许IAM用户查看边缘监控资源、创建报警规则。

EdgeMonitorReadOnlyAccess

边缘监控的只读权限。

只允许IAM用户查看边缘监控资源。

如何选择系统预设策略

您可以按照使用场景,为IAM用户关联不同的系统预设策略,从而限制IAM用户可访问或操作的资源。

下表介绍了在不同的场景下,您需要为IAM用户关联的系统预设策略及需要配置的策略生效范围。

场景

策略配置

IAM用户可查看边缘计算节点下的所有资源,但是不能操作这些资源

策略:VeenReadOnlyAccess;范围:全局

IAM用户可查看边缘计算节点下的所有资源,并且能够操作这些资源

策略 1:VeenFullAccess;范围:全局

IAM用户可查看边缘计算节点下的所有资源,但是仅能够操作指定的某个项目内的资源

策略 1:VeenReadOnlyAccess;范围:全局
策略 2:VeenFullAccess;范围:项目

IAM用户可查看边缘计算节点下的某个项目内的资源,但是不能操作这些资源

策略:VeenReadOnlyAccess;范围:项目

IAM用户可查看边缘计算节点下的某个项目内的资源,并且能够操作该项目内的资源

策略 1:VeenFullAccess;范围:项目

当您为IAM用户关联了VeenReadOnlyAccess策略且将生效范围配置为全局时,IAM用户可查看边缘计算节点下的所有资源。当您为IAM用户关联了VeenFullAccess策略且将生效范围配置为全局时,IAM用户可操作边缘计算节点下的所有资源。这些资源包括边缘服务、边缘实例、边缘网络、边缘存储、边缘监控等。

但是,需要注意:

  • 边缘监控的策略的生效范围只能为全局
  • 如果允许IAM用户创建报警规则,您还需要为其关联EdgeMonitorFullAccess策略并将生效范围配置为全局
  • 如果VeenReadOnlyAccess策略的生效范围配置为了指定项目,且您允许IAM用户查看边缘监控资源,您需要额外配置EdgeMonitorReadOnlyAccess策略并将生效范围配置为全局

项目

项目是火山引擎提供的一种资源管理方式。基于项目,您可以对云资源进行分组管理。

您可以在多种场景中使用项目来管理资源。例如,您可以针对不同的开发环境、业务项目、企业部门来设置项目。然后,您可以基于项目来为IAM用户授权,使IAM用户仅能访问特定项目下的资源,实现精细化的权限管理。

关于如何实现基于项目控制IAM用户对资源的访问,请参考基于项目控制IAM用户对资源的访问