授權管理
透過給子使用者或使用者組附加許可權策略,子使用者或使用者組中的所有子使用者就能獲得許可權策略中指定的雲資源的訪問許可權。
預設許可權
- 主賬戶是資源的擁有者(所屬使用者),擁有對資源的所有控制權限。所屬使用者不一定是資源建立者。
- CIAM子使用者預設無任何許可權,需要由主賬戶對其進行授權。如被授權建立資源,則CIAM子使用者不會自動擁有建立資源以外的任何許可權,除非主賬戶對他顯式的授權。
許可權策略管理
許可權策略是一組許可權的集合,它以一種策略語言形式來描述,每個許可權策略描述特定資源的訪問許可權。使用者(主賬戶)可以建立、更新、刪除和檢視訪問策略。目前支援兩種型別的策略:預設策略 和 自定義策略。
- 預設策略
預設策略是一組通用許可權策略,比如當前主使用者名稱下所有云主機的只讀許可權或所有許可權。對於這組許可權策略,使用者可直接使用,但不能編輯和修改。 - 自定義策略
相較於預設策略,自定義策略的授權粒度比較細。自定義策略可透過兩種方式生成:引導建立、編輯策略語言。 - 引導建立
方式生成的自定義策略是一組許可權的集合,主使用者可透過圖形化介面選擇服務、功能、資源,打包生成策略,直接授權給子使用者。這種方式比較方便快捷,資源的許可權已打包好。 - 編輯策略語言
方式生成的自定義策略可以對應到每個資源的每項操作,這種方式比較靈活,使用者可根據實際需求DIY
建立自定義策略
在建立自定義策略時,您需要先了解許可權策略語言的基本結構和語法,見許可權策略語言
操作步驟:主賬戶登入使用者控制檯,選擇 訪問控制 > 許可權策略 > 自定義策略。在彈出視窗填寫相關資訊即可。可以點選【樣例】來生成策略的基本格式內容,在此基礎上進行編輯。
檢視自定義策略資訊
操作步驟:主賬戶登入使用者控制檯,選擇 訪問控制 > 許可權策略 > 自定義策略 > 選擇某個策略,點選策略名稱進入策略詳情頁面。可對策略內容編輯、對關聯實體進行管理。
修改自定義策略
操作步驟:主賬戶登入使用者控制檯,選擇 訪問控制 > 許可權策略 > 自定義策略 > 選擇某個策略,點選操作列裡的修改按鈕修改策略內容。
刪除自定義策略
主賬號可刪除自定義策略,可同時對多個策略進行操作。如果策略已被附加到實體(使用者或使用者組)時,該策略不可刪除,需先分離該策略對應的實體。
附加許可權策略
主賬戶可對自己名下的實體(子使用者或使用者組)附加許可權策略(包括預設策略和自定義策略),即給實體新增許可權。
操作步驟:主賬戶登入使用者控制檯,選擇 訪問控制 > 許可權策略 > 自定義策略/預設策略 > 選擇某個策略,操作列點選授權彈出授權視窗顯示主賬戶下的實體(子使用者或使用者組),選擇並儲存即可完成授權。
分離許可權策略
主賬戶可對自己名下的實體(子使用者或使用者組)分離許可權策略(包括預設策略和自定義策略),即刪除實體的某個許可權。
操作步驟:主賬戶登入使用者控制檯,選擇 訪問控制 > 許可權策略 > 自定義策略/預設策略 > 選擇某個策略,點選進入策略詳情頁,在授權物件模組可以看到已經授權的實體,在相應實體操作列點選取消授權即可。