五月婷婷丁香性爱|j久久一级免费片|久久美女福利视频|中文观看在线观看|加勒比四区三区二|亚洲裸女视频网站|超碰97AV在线69网站免费观看|有码在线免费视频|久久青青日本视频|亚洲国产AAAA

API網(wǎng)關(guān)權(quán)限管理

如果您需要對(duì)華為云上創(chuàng)建地APIG資源,為企業(yè)中的員工設(shè)置不同的訪問(wèn)權(quán)限,以達(dá)到不同員工之間的權(quán)限隔離,您可以使用統(tǒng)一身份認(rèn)證服務(wù)(Identity and Access Management,簡(jiǎn)稱IAM)進(jìn)行精細(xì)的權(quán)限管理。該服務(wù)提供用戶身份認(rèn)證、權(quán)限分配、訪問(wèn)控制等功能,可以幫助您安全的控制華為云資源的訪問(wèn)。如果華為賬號(hào)已經(jīng)能滿足您的要求,不需要通過(guò)IAM對(duì)用戶進(jìn)行權(quán)限管理,您可以跳過(guò)本章節(jié),不影響您使用APIG服務(wù)的其它功能。

IAM是華為云提供權(quán)限管理的基礎(chǔ)服務(wù),無(wú)需付費(fèi)即可使用,您只需要為您賬號(hào)中的資源進(jìn)行付費(fèi)。

通過(guò)IAM,您可以通過(guò)授權(quán)控制他們對(duì)華為云資源的訪問(wèn)范圍。例如您的員工中有負(fù)責(zé)軟件開發(fā)的人員,您希望他們擁有APIG的使用權(quán)限,但是不希望他們擁有刪除APIG等高危操作的權(quán)限,那么您可以使用IAM進(jìn)行權(quán)限分配,通過(guò)授予用戶僅能使用APIG,但是不允許刪除APIG的權(quán)限,控制他們對(duì)APIG資源的使用范圍。

目前IAM支持兩類授權(quán),一類是角色與策略授權(quán),另一類為身份策略授權(quán)。

兩者有如下的區(qū)別和關(guān)系:

名稱
核心關(guān)系
涉及的權(quán)限
授權(quán)方式
適用場(chǎng)景

角色與策略授權(quán)

用戶-權(quán)限-授權(quán)范圍

系統(tǒng)角色

系統(tǒng)策略

自定義策略

為主體授予角色或策略

核心關(guān)系為“用戶-權(quán)限-授權(quán)范圍”,每個(gè)用戶根據(jù)所需權(quán)限和所需授權(quán)范圍進(jìn)行授權(quán),無(wú)法直接給用戶授權(quán),需要維護(hù)更多的用戶組,且支持的條件鍵較少,難以滿足細(xì)粒度精確權(quán)限控制需求,更適用于對(duì)細(xì)粒度權(quán)限管控要求較低的中小企業(yè)用戶。

身份策略授權(quán)

用戶-策略

系統(tǒng)策略

自定義身份策略

為主體授予身份策略

身份策略附加至主體

核心關(guān)系為“用戶-策略”,管理員可根據(jù)業(yè)務(wù)需求定制不同的訪問(wèn)控制策略,能夠做到更細(xì)粒度更靈活的權(quán)限控制,新增資源時(shí),對(duì)比角色與策略授權(quán),基于身份策略的授權(quán)模型可以更快速地直接給用戶授權(quán),靈活性更強(qiáng),更方便,但相對(duì)應(yīng)的,整體權(quán)限管控模型構(gòu)建更加復(fù)雜,對(duì)相關(guān)人員專業(yè)能力要求更高,因此更適用于中大型企業(yè)。

例如:如果需要對(duì)IAM用戶授予可以創(chuàng)建華北-北京四區(qū)域的ECS和華南-廣州區(qū)域的OBS的權(quán)限,基于角色與策略授權(quán)的場(chǎng)景中,管理員需要?jiǎng)?chuàng)建兩個(gè)自定義策略,并且為IAM用戶同時(shí)授予這兩個(gè)自定義策略才可以實(shí)現(xiàn)權(quán)限控制。在基于身份策略授權(quán)的場(chǎng)景中,管理員僅需要?jiǎng)?chuàng)建一個(gè)自定義身份策略,在身份策略中通過(guò)條件鍵“g:RequestedRegion”的配置即可達(dá)到身份策略對(duì)于授權(quán)區(qū)域的控制。將身份策略附加主體或?yàn)橹黧w授予該身份策略即可獲得相應(yīng)權(quán)限,權(quán)限配置方式更細(xì)粒度更靈活。

兩種授權(quán)場(chǎng)景下的策略/身份策略、授權(quán)項(xiàng)等并不互通,推薦使用身份策略進(jìn)行授權(quán)。角色與策略權(quán)限管理身份策略權(quán)限管理分別介紹兩種模型的系統(tǒng)權(quán)限。

關(guān)于IAM的詳細(xì)介紹,請(qǐng)參見IAM產(chǎn)品介紹

 

角色與策略權(quán)限管理

APIG服務(wù)支持角色與策略授權(quán)。默認(rèn)情況下,管理員創(chuàng)建的IAM用戶沒(méi)有任何權(quán)限,需要將其加入用戶組,并給用戶組授予策略或角色,才能使得用戶組中的用戶獲得對(duì)應(yīng)的權(quán)限,這一過(guò)程稱為授權(quán)。授權(quán)后,用戶就可以基于被授予的權(quán)限對(duì)云服務(wù)進(jìn)行操作。

APIG部署時(shí)通過(guò)物理區(qū)域劃分,為項(xiàng)目級(jí)服務(wù)。授權(quán)時(shí),“授權(quán)范圍”需要選擇“指定區(qū)域項(xiàng)目資源”,然后在指定區(qū)域(如華北-北京1)對(duì)應(yīng)的項(xiàng)目(cn-north-1)中設(shè)置相關(guān)權(quán)限,并且該權(quán)限僅對(duì)此項(xiàng)目生效;如果“授權(quán)范圍”選擇“所有資源”,則該權(quán)限在所有區(qū)域項(xiàng)目中都生效。訪問(wèn)APIG時(shí),需要先切換至授權(quán)區(qū)域。

如表2所示,包括了APIG的所有系統(tǒng)權(quán)限。角色與策略授權(quán)場(chǎng)景的系統(tǒng)策略和身份策略授權(quán)場(chǎng)景的并不互通。

系統(tǒng)角色/策略名稱
描述
類別
依賴關(guān)系

APIG Administrator

API網(wǎng)關(guān)服務(wù)的管理員權(quán)限。擁有該權(quán)限的用戶可以使用APIG的所有功能。

系統(tǒng)角色

如果在操作過(guò)程中涉及其他服務(wù)資源的創(chuàng)建、刪除、變更等,則還需要在同項(xiàng)目中勾選對(duì)應(yīng)服務(wù)的Administrator權(quán)限。

APIG FullAccess

API網(wǎng)關(guān)服務(wù)所有權(quán)限。擁有該權(quán)限的用戶可以使用APIG的所有功能。

系統(tǒng)策略

創(chuàng)建包周期實(shí)例前需要配置授權(quán)項(xiàng):

bss:order:update

bss:order:pay

APIG ReadOnlyAccess

API網(wǎng)關(guān)服務(wù)的只讀訪問(wèn)權(quán)限。擁有該權(quán)限的用戶只能查看APIG的各類信息。

系統(tǒng)策略

無(wú)。

表3列出了APIG常用操作與系統(tǒng)權(quán)限的授權(quán)關(guān)系,您可以參照該表選擇合適的系統(tǒng)權(quán)限。

操作
APIG Administrator
APIG FullAccess
APIG ReadOnlyAccess

創(chuàng)建API網(wǎng)關(guān)專享版實(shí)例

x

查看API網(wǎng)關(guān)專享版實(shí)例列表

查看API網(wǎng)關(guān)專享版實(shí)例

更新API網(wǎng)關(guān)專享版實(shí)例

x

發(fā)布API

x

表4列出了APIG控制臺(tái)依賴服務(wù)的角色或策略,您可以參照該表配置角色/策略。

控制臺(tái)功能
依賴服務(wù)
需配置角色/策略

導(dǎo)入CSE微服務(wù)

微服務(wù)引擎 CSE

IAM用戶設(shè)置了APIG FullAccess權(quán)限后,需要增加CSE ReadOnlyAccess權(quán)限后才能導(dǎo)入CSE微服務(wù)。

對(duì)接APM應(yīng)用

應(yīng)用性能管理 APM

IAM用戶設(shè)置了APIG FullAccess權(quán)限后,需要增加以下權(quán)限點(diǎn):“apm:apm2BusinessBusiness:list”,“apm:apm2Admin:create”,“apm:apm2Admin:update”,“apm:apm2Admin:delete”,“apm:apm2Admin:get”才能為APIG實(shí)例綁定APM應(yīng)用列表。

查詢LTS結(jié)構(gòu)化配置

云日志服務(wù) LTS

IAM用戶設(shè)置了APIG FullAccess權(quán)限后,需要增加“lts:structConfig:get”權(quán)限后才能查詢LTS結(jié)構(gòu)化配置。

身份策略權(quán)限管理

APIG服務(wù)支持身份策略授權(quán)。如表5所示,包括了APIG身份策略中的所有系統(tǒng)身份策略。身份策略授權(quán)場(chǎng)景的系統(tǒng)身份策略和角色與策略授權(quán)場(chǎng)景的并不互通。

系統(tǒng)身份策略名稱
描述
策略類別

APIGFullAccessPolicy

對(duì)API網(wǎng)關(guān)服務(wù)所有權(quán)限。

系統(tǒng)身份策略

APIGReadOnlyAccessPolicy

對(duì)API網(wǎng)關(guān)服務(wù)的只讀訪問(wèn)權(quán)限。

系統(tǒng)身份策略

表6列出了APIG常用操作與系統(tǒng)身份策略的授權(quán)關(guān)系,您可以參照該表選擇合適的系統(tǒng)身份策略。

操作
APIGFullAccessPolicy
APIGReadOnlyAccessPolicy

獲取專享版實(shí)例列表

查看專享版實(shí)例詳情

發(fā)布或下線API

x

表7列出了APIG控制臺(tái)依賴服務(wù)的身份策略,您可以參照該表配置身份策略。

控制臺(tái)功能
依賴服務(wù)
需配置身份策略

導(dǎo)入CSE微服務(wù)

微服務(wù)引擎 CSE

IAM用戶設(shè)置了APIGFullAccessPolicy權(quán)限后,需要增加CSEReadOnlyPolicy權(quán)限后才能導(dǎo)入CSE微服務(wù)。

對(duì)接APM應(yīng)用

應(yīng)用性能管理 APM

IAM用戶設(shè)置了APIGFullAccessPolicy權(quán)限后,需要增加以下權(quán)限點(diǎn):“apm:application:list”,“apm:apm2Admin:create”,“apm::updateAdminInfo”,“apm::deleteAdminInfo”,“apm::getAdminInfo”才能為APIG實(shí)例綁定APM應(yīng)用列表。

查詢LTS結(jié)構(gòu)化配置

云日志服務(wù) LTS

IAM用戶設(shè)置了APIGFullAccessPolicy權(quán)限后,需要增加“lts:structConfig:getStructConfig”權(quán)限后才能查詢LTS結(jié)構(gòu)化配置。