《大话华为云OBS+IAM权限控制》连载 (一):白话云平台、云服务、IAM服务、云账户之间的“生意关系”
【摘要】 以类比现实世界的生意活动的方式,白话简述云平台、云服务、IAM服务、云账户之间的交互关系
华为云平台——云服务交易市场
华为云账户(Tenant)——在云市场中注册的企业老板
华为云服务——云市场中的各个服务提供商,卖给企业老板的是它提供的部分云服务资源的使用权
华为云的IAM服务——云市场中的服务提供商之一,其特殊之处在于,每一个云上企业注册后就由云平台自动为该企业分配了IAM服务资源。在各个企业的IAM服务资源中,维护着本企业所购买的所有云服务资源的一切使用权细节信息。
云账户A购买云服务S——企业A老板向华为云市场中的云服务提供商S订购了一定规格的S云服务资源使用权。
特别注意的是,云服务S是一个在线产品,企业客户要使用其购买的云服务S资源时,具体的操作细节实际是云平台上的S服务提供商来执行的,这些执行细节有可能仅仅只是S服务提供商自己就能完成的,也有可能需要访问客户有权使用的其他云服务资源,这点对于理解云服务类型的IAM委托是非常重要的。
企业A管理员对用户组或者委托进行S服务资源的授权——如前所述,企业A的IAM服务资源中,维护着本企业购买的S服务资源的使用权信息,所以管理员的每一次权限配置,本质就是对此使用权信息的新增、删除或更新
使用S云服务资源的客户包括两类——云企业员工(对应的授权对象既可以是“IAM用户组”,也可以是“账号类型的IAM委托”),或另一个云服务提供商T(对应的授权对象只能是“云服务类型的IAM委托”)
客户申请使用某个S云服务资源的流程——客户(注意是“客户”而不是用户)向云平台上的S服务提供商发送请求,申请对目标的S服务子资源进行访问,申请中包含了客户提供的认证信息,此申请是否能够通过,需要依次进行以下步骤:
申请访问的目标是某个S服务的子资源,所以需要由S服务供应商(以下简称“S服务”)来处理此请求
S服务向云平台上的IAM服务发出权限校验请求,其中包括申请者的认证信息(例如AK/SK、token等)、申请的目标S服务子资源信息(例如目标OBS桶等)、申请的操作信息(例如读、写、列举等)等;
IAM服务可知申请访问的目标S服务资源归属于哪个IAM账户,于是在该账户的IAM服务资源记录的权限信息中,检查申请客户是否有访问目标S服务资源的权限
IAM服务会将检查结果告知S服务,如果检查没有通过,S服务会直接拒绝客户的申请
(可选)如果步骤3检查通过,则S服务还可能进行本服务内部的权限控制检查(例如OBS桶自身的权限控制机制)
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
- 《大话华为云OBS+IAM权限控制》连载 (二十四):对同一个用户组,建议不要同时进行IAM全局级授权和EPS项目级授权
- 《大话华为云OBS+IAM权限控制》连载 (二十五):已知用户名/密码,生成临时AK/SK构造OBS客户端的Python参考实现
- 《大话华为云OBS+IAM权限控制》连载 (二十三):通过EPS项目的用户和资源管理,可实现让指定用户只可见部分指定资源的效果
- 《大话华为云OBS+IAM权限控制》连载 (二十):企业项目服务(EPS)是对企业人力和物力资源进行逻辑管理的有效手段
- 《大话华为云OBS+IAM权限控制》连载 (二十二):一个云服务资源只能属于一个EPS项目,但一个IAM用户组可同时属于多个项目
评论(0)