You need to enable JavaScript to run this app.
导航
通过标签对资源进行权限管控
最近更新时间:2024.06.25 19:15:48首次发布时间:2023.09.04 19:47:27

本文介绍如何基于标签控制IAM身份的权限,实现不同用户可以拥有不同云资源访问和操作权限。

注意:目前并非所有云资源均支持标签权限管控,已支持的产品详见:云服务支持的Condition条件键

标签分权

资源用标签进行标识分类后,可将标签作为IAM权限策略的匹配条件,可以实现云资源精细化权限管理。基于标签控制IAM用户权限(即标签分权)的逻辑如下:

标签授权适用于企业精细化分工管理场景,当资源数量较多时,通过标签授权可以避免对资源单独授权,实现一次性为同特征的资源授权,降低管理成本和复杂度。

注意:在标签分权中,标签信息是权限策略的一种条件或属性,用户被授予标签资源权限时的鉴权评估逻辑遵循IAM策略权限评估逻辑。并非所有资源都支持标签操作或者标签鉴权,使用前请至相关产品处确认。

操作示例

示例场景说明:控制某IAM用户只能操作带有“env:test”标签的云服务器ECS资源,如下图所示:

  1. 前提条件

  • 请为火山引擎账号准备一个IAM用户,详情请参见:IAM用户管理

  • 请准备好相关的资源。在本场景中需创建云服务器ECS,详情请参见:创建实例

  1. 创建自定义策略并为IAM用户授权

  • 使用火山引擎账号登陆IAM控制台

  • 在策略管理页点击新建自定义策略,策略定义方法请参加:策略语法。在本场景中定义策略如下

{
    "Statement": [
        {
            "Action": [
                "ecs:*"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "volc:ResourceTag/env": "test"
                }
            }
        }
    ]
}
  • 将该策略授权给IAM用户,授权方法请参见:用户授权
  1. 为相关的资源绑定标签

可通过资源标签控制台或云服务器控制台为资源绑定标签,详情请参加:标签管理

  1. (可选)访问带有标签的资源

使用IAM用户于控制台、OpenAPI操作相关资源,验证权限策略是否生效

注意:控制台操作时需明确操作对象,OpenAPI操作时入参需带资源信息