最近更新时间:2023.10.17 18:50:44
首次发布时间:2023.09.04 19:47:27
本文介绍如何基于标签控制IAM身份的权限,实现不同用户可以拥有不同云资源访问和操作权限。
资源用标签进行标识分类后,可将标签作为IAM权限策略的匹配条件,可以实现云资源精细化权限管理。基于标签控制IAM用户权限(即标签分权)的逻辑如下:
标签授权适用于企业精细化分工管理场景,当资源数量较多时,通过标签授权可以避免对资源单独授权,实现一次性为同特征的资源授权,降低管理成本和复杂度。
注意:在标签分权中,标签信息是权限策略的一种条件或属性,用户被授予标签资源权限时的鉴权评估逻辑遵循IAM策略权限评估逻辑。并非所有资源都支持标签操作或者标签鉴权,使用前请至相关产品处确认。
示例场景说明:控制某IAM用户只能操作带有“env:test”标签的云服务器ECS资源,如下图所示:
{ "Statement": [ { "Action": [ "ecs:*" ], "Effect": "Allow", "Resource": [ "*" ], "Condition": { "StringEquals": { "volc:ResourceTag/env": "test" } } } ] }
可通过资源标签控制台或云服务器控制台为资源绑定标签,详情请参加:标签管理
使用IAM用户于控制台、OpenAPI操作相关资源,验证权限策略是否生效
注意:控制台操作时需明确操作对象,OpenAPI操作时入参需带资源信息