統一身份認證IAM介紹

統一身份認證（Identity and Access Management，簡稱IAM）服務，是提供用戶進行權限管理的基礎服務，可以幫助您安全的控制云服務和資源的訪問及操作權限。

IAM為您提供的主要功能包括：精細的權限管理、安全訪問、通過用戶組批量管理用戶權限、委托其他帳號管理資源等。

身份管理

訪問控制IAM中的身份包括IAM用戶、IAM用戶組。

IAM用戶有確定的登錄密碼和訪問密鑰，IAM用戶組則用于分類職責相同的IAM用戶，IAM用戶和IAM用戶組均可以被賦予一組權限策略。在需要協同使用資源的場景中，避免直接共享天翼云賬號的密碼等信息，縮小不同IAM子用戶的信息可見范圍，可為IAM子用戶和IAM用戶組按需授權，即使不慎泄露機密信息，也不會危及天翼云賬號下的所有資源。

權限管理

統一身份認證IAM通過權限策略描述授權的具體內容，權限策略包括固定的基本元素“Action”“Effect”等，更多信息，請參見“自定義策略“。為IAM用戶、IAM用戶組在全局授權或企業項目授權中添加一組權限策略后，即可讓其有權限訪問指定資源。

權限策略分為系統策略和自定義策略 :

系統策略 ：預置的系統策略，您只能使用不能修改。流量鏡像相關的系統策略包含如下：

admin：流量鏡像服務的管理者權限，包含流量鏡像服務所有控制權限（不含訂單類權限）；

viewer: 流量鏡像服務的觀察者權限，包含流量鏡像服務的列表頁與詳情頁面權限；

自定義策略 ：您按需自行創建和維護的權限策略，關于自定義策略的操作和示例，請參見“自定義策略“。

流量鏡像接口對應權限表

如下是流量鏡像產品相關權限三元組及生效范圍：

控制臺接口
權限三元組
配置支持
IAM
企業項目
篩選條件
創建
vpc
mirrorFilter
create
√
√
列表獲取
vpc
mirrorFilter
list
√
√
詳情獲取
vpc
mirrorFilter
get
√
√
vpc
trafficMirror
list
√
√
vpc
trafficMirror
get
√
√
修改
vpc
mirrorFilter
update
√
√
刪除
vpc
mirrorFilter
delete
√
√
鏡像會話
創建
vpc
trafficMirror
create
√
√
vpc
mirrorFilter
list
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
列表獲取
vpc
trafficMirror
list
√
√
詳情獲取
vpc
trafficMirror
get
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
刪除
vpc
trafficMirror
delete
√
√
修改
vpc
trafficMirror
update
√
√
變更篩選條件
vpc
trafficMirror
detach
√
√
vpc
mirrorFilter
list
√
√
添加鏡像源
vpc
trafficMirror
increase
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
刪除鏡像源
vpc
trafficMirror
decrease
√
√
變更鏡像目的
vpc
trafficMirror
change
√
√
vpc
cloudSeverNics
list
√
√
vpc
cloudSeverNics
get
√
√
啟動鏡像會話
vpc
trafficMirror
start
√
√
停止鏡像會話
vpc
trafficMirror
stop
√
√

天翼云支持對用戶組/子用戶，進行資源池或全局維度的權限授權；同時也支持在企業項目中，對用戶組進行資源組維度的權限授權。部分沒有企業項目屬性的接口或資源，授權只能以資源池或全局維度進行。以資源池或全局維度進行的授權判斷，其優先級高于企業項目中的資源組維度授權。

通過IAM用戶控制資源訪問

在協同使用資源的場景下，根據實際的職責權限情況，您可以創建多個IAM用戶并為其授予不同的權限，實現不同IAM子用戶可以分權管理不同的資源，從而提高管理效率，降低信息泄露風險。本文介紹如何創建IAM子用戶并授予特定權限策略，從而控制對流量鏡像資源的訪問。

操作步驟

創建IAM子用戶

具體操作，請參見“創建用戶”。

創建自定義策略

天翼云提供了訪問流量鏡像資源的系統策略，更多信息，請參見“管理權限”。如果系統策略不能滿足需求，您還可以創建自定義策略，具體操作，請參見“自定義策略“。

策略分為用戶可以自行定義的自定義策略，以及預定義在平臺錄入的系統策略兩類。

細粒度授權策略結構包括策略版本號（Version）及策略授權語句（Statement）列表。

策略版本號：Version，標識策略結構的版本號。目前為1.1.

策略授權語句：Statement，包括了基本元素：作用（Effect）和權限集（Action）。

作用（Effect）包含兩種：允許（Allow）和拒絕（Deny）。

授權項（Action）是對資源的具體操作權限，支持單個或多個操作權限。

a) 腳本配置策略示例一：為IAM子用戶配置虛擬私有云查看者權限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:mirrorFilter:get",
                                "vpc:mirrorFilter:list",
                                "vpc:trafficMirror:get",
                                "vpc:trafficMirror:list",
                                "vpc:cloudServerNics:get",
                                "vpc:cloudServerNics:list",
         
                                "vpc:trafficMirror:*",
			],
			"Effect": "Allow"
		}
	]
}

b) 腳本配置策略示例二：為IAM子用戶配置虛擬私有云所有操作權限。

{
	"Version": "1.1",
	"Statement": [
		{
			"Action": [
				"vpc:mirrorFilter:*",
                                "vpc:trafficMirror:*",
                                "vpc:cloudServerNics:get",
                                "vpc:cloudServerNics:list",
			],
			"Effect": "Allow"
		}
	]
}

授權自定義策略

授予IAM用戶訪問所創建的自定義策略范圍中的資源，具體操作，請參見“自定義策略”。

授權系統策略

您也可以直接使用天翼云預制的產品系統策略對IAM子用戶進行授權。