授权管理
通过给子用户或用户组附加权限策略,子用户或用户组中的所有子用户就能获得权限策略中指定的云资源的访问权限。
默认权限
- 主账户是资源的拥有者(所属用户),拥有对资源的所有控制权限。所属用户不一定是资源创建者。
- CIAM子用户默认无任何权限,需要由主账户对其进行授权。如被授权创建资源,则CIAM子用户不会自动拥有创建资源以外的任何权限,除非主账户对他显式的授权。
权限策略管理
权限策略是一组权限的集合,它以一种策略语言形式来描述,每个权限策略描述特定资源的访问权限。用户(主账户)可以创建、更新、删除和查看访问策略。目前支持两种类型的策略:预设策略 和 自定义策略。
- 预设策略
预设策略是一组通用权限策略,比如当前主用户名下所有云主机的只读权限或所有权限。对于这组权限策略,用户可直接使用,但不能编辑和修改。 - 自定义策略
相较于预设策略,自定义策略的授权粒度比较细。自定义策略可通过两种方式生成:引导创建、编辑策略语言。 - 引导创建
方式生成的自定义策略是一组权限的集合,主用户可通过图形化界面选择服务、功能、资源,打包生成策略,直接授权给子用户。这种方式比较方便快捷,资源的权限已打包好。 - 编辑策略语言
方式生成的自定义策略可以对应到每个资源的每项操作,这种方式比较灵活,用户可根据实际需求DIY
创建自定义策略
在创建自定义策略时,您需要先了解权限策略语言的基本结构和语法,见权限策略语言
操作步骤:主账户登录用户控制台,选择 访问控制 > 权限策略 > 自定义策略。在弹出窗口填写相关信息即可。可以点击【样例】来生成策略的基本格式内容,在此基础上进行编辑。
查看自定义策略信息
操作步骤:主账户登录用户控制台,选择 访问控制 > 权限策略 > 自定义策略 > 选择某个策略,点击策略名称进入策略详情页面。可对策略内容编辑、对关联实体进行管理。
修改自定义策略
操作步骤:主账户登录用户控制台,选择 访问控制 > 权限策略 > 自定义策略 > 选择某个策略,点击操作列里的修改按钮修改策略内容。
删除自定义策略
主账号可删除自定义策略,可同时对多个策略进行操作。如果策略已被附加到实体(用户或用户组)时,该策略不可删除,需先分离该策略对应的实体。
附加权限策略
主账户可对自己名下的实体(子用户或用户组)附加权限策略(包括预设策略和自定义策略),即给实体添加权限。
操作步骤:主账户登录用户控制台,选择 访问控制 > 权限策略 > 自定义策略/预设策略 > 选择某个策略,操作列点击授权弹出授权窗口显示主账户下的实体(子用户或用户组),选择并保存即可完成授权。
分离权限策略
主账户可对自己名下的实体(子用户或用户组)分离权限策略(包括预设策略和自定义策略),即删除实体的某个权限。
操作步骤:主账户登录用户控制台,选择 访问控制 > 权限策略 > 自定义策略/预设策略 > 选择某个策略,点击进入策略详情页,在授权对象模块可以看到已经授权的实体,在相应实体操作列点击取消授权即可。