《大话华为云OBS+IAM权限控制》连载 (九):IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容
【摘要】 IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容,根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式进行
如前所述,IAM管理员可以对一个IAM用户组进行资源使用授权,那么具体的授权内容是如何定义的呢?这就是IAM权限(Permissions,旧称“IAM策略Policy”)的由来。每一个IAM权限其实就是由一个JSON格式的字符串来定义的。IAM权限根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,如下所示:
Ø 系统角色 —— IAM自带的粗粒度权限定义,只能以云服务为粒度,不能适应客户对资源的精细访问控制需求
Ø 系统策略 —— IAM自带的细粒度权限定义,可以精确到具体服务的操作、资源以及请求条件等
Ø 自定义策略 —— IAM管理员创建的定制化细粒度权限,可以实现最精细化的资源、操作和条件控制。
如下图所示的“OBS Viewer”系统策略实例和策略结构示意图,每一条IAM权限的主要关注点包括 作用范围、权限类型、JSON结构中的Statements等
特别提醒,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式,进行各种Action的勾选,最大限度降低手动构造JSON带来的误操作
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
- 《大话华为云OBS+IAM权限控制》连载 (二十四):对同一个用户组,建议不要同时进行IAM全局级授权和EPS项目级授权
- 《大话华为云OBS+IAM权限控制》连载 (二十五):已知用户名/密码,生成临时AK/SK构造OBS客户端的Python参考实现
- 《大话华为云OBS+IAM权限控制》连载 (二十三):通过EPS项目的用户和资源管理,可实现让指定用户只可见部分指定资源的效果
- 《大话华为云OBS+IAM权限控制》连载 (二十):企业项目服务(EPS)是对企业人力和物力资源进行逻辑管理的有效手段
- 《大话华为云OBS+IAM权限控制》连载 (二十二):一个云服务资源只能属于一个EPS项目,但一个IAM用户组可同时属于多个项目
评论(0)