You need to enable JavaScript to run this app.
导航

概述

最近更新时间2024.01.09 11:48:08

首次发布时间2023.07.07 09:56:20

当需要由不同的用户对云上资源进行管理时,您可以使用火山引擎提供的访问控制 IAM (Identity and Access Management)服务,创建不同的子用户并为其配置不同的权限,实现资源的分权管理,提高管理效率,降低信息泄露风险。更多关于访问控制服务的介绍可参见访问控制
本文介绍通过IAM用户使用私网连接服务时的权限设置和管理操作。

基本概念

名词说明
主账号当您在火山引擎官网完成账号注册后,您就拥有了一个主账号。主账号默认拥有账号下所有OpenAPI调用权限和控制台的操作权限,能够对资源进行购买、续费、退订、升级等操作,拥有资源的订单、账单。
子用户子用户是访问控制的一种身份,由主账号(Account)或是拥有权限的用户创建并授予相应的权限,更多信息请参见用户管理
用户组子用户的一个集合,同一个IAM用户可存在于多个用户组中。用户组的权限由被关联的策略决定,当用户组被关联策略之后,用户组里的用户也会拥有对应的策略权限,更多信息请参见用户组管理策略管理
角色角色无法直接访问云服务,角色需要先授信给其他身份,受信任的身份通过扮演角色获取临时安全凭证来访问云资源,更多信息请参见角色管理
策略策略是对权限的一种描述,IAM提供基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。不论是用户、用户组还是角色,都需要通过关联策略来赋予权限。
项目项目是一组资源的集合。创建云产品资源的时候,可选择将资源放置在指定的项目中,还可以在资源管理控制台中,对项目内的资源进行查询以及迁入、迁出操作,更多信息请参见项目管理

权限配置说明

新建子用户、用户组或角色时,默认没有任何权限,需要主账号为其绑定策略,才能使用户或用户组具有某些云资源的操作权限。IAM支持系统预设和自定义两种类型的策略。

  • 系统预设策略:IAM平台设置了关于私网连接的默认策略,若您需要向IAM用户、用户组或角色添加权限,您可以直接关联预设策略。

    策略名称描述支持的操作
    PrivateLinkFullAccess私网连接(PrivateLink)全读写策略私网连接的管理权限,包括创建、查看、删除相关资源等操作。
    PrivateLinkReadOnlyAccess私网连接(PrivateLink)只读策略私网连接的只读权限,只可查看相关资源。
    PrivateLinkEndpointServiceFullAccess私网连接终端节点服务(PrivateLinkEndpointService)全读写策略私网连接终端节点服务的管理权限,包括创建、查看、删除终端节点服务相关资源等操作。
    PrivateLinkEndpointServiceReadOnlyAccess私网连接终端节点服务(PrivateLinkEndpointService)只读策略私网连接终端节点服务的只读权限,只可查看终端节点服务相关资源。
    PrivateLinkEndpointFullAccess私网连接终端节点(PrivateLinkEndpoint)全读写策略私网连接终端节点的管理权限,包括创建、查看、删除终端节点相关资源等操作。
    PrivateLinkEndpointReadOnlyAccess私网连接终端节点(PrivateLinkEndpoint)只读策略私网连接终端节点的只读权限,只可查看终端节点相关资源。
  • 自定义策略:如果IAM设置的默认策略无法满足您的业务需求,您可以参考新建自定义策略创建您自己的IAM策略。私网连接服务的自定义策略配置示例可参见自定义策略示例。策略内容包含的授权参数如下表所示。

    授权参数说明取值示例
    Effect策略产生的结果,支持Allow和Deny。Allow

    Action

    策略的具体操作,由云服务的英文名称和操作名称两部分组成,格式为:{service}:{action}

    • 私网连接服务的service为privatelink,action为OpenAPI的接口名称,具体可参见API概览
    • 配置网关终端节点的访问策略时,service为tos,action为对象存储桶支持的操作,具体可参见存储桶策略模板及参数说明

    privatelink:CreateEndpointService

    Resource

    指定操作(Action)作用的资源,以Trn的形式配置,格式为:trn:{service}:{region}:{account}:{resourceType}/{id}
    其中,service指待配置权限所属服务的英文名称,region指资源所属的地域ID,account指资源所属账号的ID,resourceType指资源的类型,id指资源的ID。

    • 私网连接可授权的资源类型如下:
      • endpointservice:终端节点服务
      • endpoint:接口终端节点
      • gwendpoint:网关终端节点
    • 配置网关终端节点的访问策略时,该参数的配置说明请参见存储桶策略参数说明

    trn:privatelink:cn-shanghai:210005****:endpointservice/epsvc-2femvejr0l88w59gp67zw****