《大话华为云OBS+IAM权限控制》连载 (九):IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容
【摘要】 IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容,根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式进行
如前所述,IAM管理员可以对一个IAM用户组进行资源使用授权,那么具体的授权内容是如何定义的呢?这就是IAM权限(Permissions,旧称“IAM策略Policy”)的由来。每一个IAM权限其实就是由一个JSON格式的字符串来定义的。IAM权限根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,如下所示:
Ø 系统角色 —— IAM自带的粗粒度权限定义,只能以云服务为粒度,不能适应客户对资源的精细访问控制需求
Ø 系统策略 —— IAM自带的细粒度权限定义,可以精确到具体服务的操作、资源以及请求条件等
Ø 自定义策略 —— IAM管理员创建的定制化细粒度权限,可以实现最精细化的资源、操作和条件控制。
如下图所示的“OBS Viewer”系统策略实例和策略结构示意图,每一条IAM权限的主要关注点包括 作用范围、权限类型、JSON结构中的Statements等
特别提醒,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式,进行各种Action的勾选,最大限度降低手动构造JSON带来的误操作
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)