華為云計算 云知識 彈性云服務器ECS權限管理介紹
彈性云服務器ECS權限管理介紹
時間: 2020-04-07 16:52:49
猜你想看:
實時語音識別 云服務器配置 CDN是什么意思 視頻點播加速 什么是云桌面

如果您需要對華為云上購買的ECS資源,給企業(yè)中的員工設置不同的訪問權限,以達到不同員工之間的權限隔離,您可以使用 統(tǒng)一身份認證 服務(Identity and Access Management,簡稱 IAM )進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能,可以幫助您安全的控制華為云資源的訪問。

通過IAM,您可以在華為云賬號中給員工創(chuàng)建IAM用戶,并授權控制他們對華為云資源的訪問范圍。例如您的員工中有負責軟件開發(fā)的人員,您希望他們擁有ECS的使用權限,但是不希望他們擁有刪除ECS等高危操作的權限,那么您可以使用IAM為開發(fā)人員創(chuàng)建用戶,通過授予僅能使用ECS,但是不允許刪除ECS的權限策略,控制他們對ECS資源的使用范圍。

如果華為云賬號已經(jīng)能滿足您的要求,不需要創(chuàng)建獨立的IAM用戶進行權限管理,您可以跳過本章節(jié),不影響您使用ECS服務的其它功能。

ECS權限

默認情況下,新建的IAM用戶沒有任何權限,您需要將其加入用戶組,并給用戶組授予策略或角色,才能使得用戶組中的用戶獲得對應的權限,這一過程稱為授權。授權后,用戶就可以基于被授予的權限對云服務進行操作。

ECS部署時通過物理區(qū)域劃分,為項目級服務。授權時,“作用范圍”需要選擇“區(qū)域級項目”,然后在指定區(qū)域(如華北-北京1)對應的項目(cn-north-1)中設置相關權限,并且該權限僅對此項目生效;如果在“所有項目”中設置權限,則該權限在所有區(qū)域項目中都生效。訪問ECS時,需要先切換至授權區(qū)域。

權限根據(jù)授權精細程度分為角色和策略。

角色:IAM最初提供的一種根據(jù)用戶的工作職能定義權限的粗粒度授權機制。該機制以服務為粒度,提供有限的服務相關角色用于授權。由于華為云各服務之間存在業(yè)務依賴關系,因此給用戶授予角色時,可能需要一并授予依賴的其他角色,才能正確完成業(yè)務。角色并不能滿足用戶對精細化授權的要求,無法完全達到企業(yè)對權限最小化的安全管控要求。

策略:IAM最新提供的一種細粒度授權的能力,可以精確到具體服務的操作、資源以及請求條件等。基于策略的授權是一種更加靈活的授權方式,能夠滿足企業(yè)對權限最小化的安全管控要求。例如:針對ECS服務,管理員能夠控制IAM用戶僅能對某一類 云服務器 資源進行指定的管理操作。多數(shù)細粒度策略以API接口為粒度進行權限拆分,ECS支持的API授權項請參見ECS策略及授權項說明。

表1 ECS系統(tǒng)權限

策略名稱

描述

策略類別

策略內(nèi)容

ECS FullAccess

彈性云服務器管理員權限,擁有該權限的用戶可以擁有ECS的全部權限,包括創(chuàng)建、刪除、查詢、變更規(guī)格等操作。

系統(tǒng)策略

ECS FullAccess策略內(nèi)容

ECS CommonOperations

彈性云服務器普通用戶權限,擁有該權限的用戶可以執(zhí)行開機、關機、重啟、查詢彈性云服務器的操作。

系統(tǒng)策略

ECS CommonOperations策略內(nèi)容

ECS ReadOnlyAccess

彈性云服務器只讀權限,擁有該權限的用戶僅能查看彈性云服務數(shù)據(jù)。

系統(tǒng)策略

ECS ReadOnlyAccess策略內(nèi)容

Server Administrator

彈性云服務器的所有執(zhí)行權限,該角色有依賴,需要在同項目中勾選依賴的角色:Tenant Guest。

如果在操作過程中涉及其他服務資源的創(chuàng)建、刪除、變更等,則還需要在同項目中勾選對應服務的Administrator權限。

例如:在控制臺創(chuàng)建ECS時如需創(chuàng)建新的VPC,則需額外授予創(chuàng)建VPC的VPC Administrator權限。

系統(tǒng)角色

Server Administrator策略內(nèi)容

表2列出了ECS常用操作與系統(tǒng)策略的授權關系,您可以參照該表選擇合適的系統(tǒng)策略。

表2 ECS操作與系統(tǒng)策略關系

操作

ECS FullAccess

ECS CommonOperations

ECS ReadOnlyAccess

創(chuàng)建彈性云服務器

x

x

控制臺遠程登錄云服務器

x

查看彈性云服務器列表

查詢彈性云服務器詳情

修改彈性云服務器

x

x

啟動彈性云服務器

x

關閉彈性云服務器

x

重啟彈性云服務器

x

刪除彈性云服務器

x

x

重裝操作系統(tǒng)

x

x

切換操作系統(tǒng)

x

x

彈性云服務器掛載磁盤

x

x

彈性云服務器卸載磁盤

x

x

查詢彈性云服務器磁盤列表

彈性云服務器掛載網(wǎng)卡

x

x

彈性云服務器卸載網(wǎng)卡

x

x

查詢彈性云服務器網(wǎng)卡列表

創(chuàng)建 鏡像

x

x

添加云服務器標簽

x

變更彈性云服務器規(guī)格

x

x

查詢彈性云服務器規(guī)格列表

查詢云服務器組

更多關于內(nèi)容可參考:https://support.huaweicloud.com/productdesc-ecs/ecs_01_0059.html


彈性云服務器ECS權限管理介紹

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會繼續(xù)努力做到更好 反饋提交失敗!請稍后重試!