概述

如果您需要針對不同資源，對用戶設置不同的訪問權限，以達到用戶之間的權限隔離，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM）進行精細的權限管理。該服務提供用戶身份認證、權限分配、訪問控制等功能，可以幫助您安全地控制云資源的訪問。

通過IAM，您可以為其他賬號創建IAM用戶，并使用策略來控制他們對云資源的訪問范圍。IAM是云服務提供權限管理的基礎服務，無需付費即可使用，您只需要為您賬號中的資源進行付費，關于IAM的詳細介紹，參見：統一身份認證

如果云賬號已經能滿足您的要求，不需要創建獨立的IAM用戶進行權限管理，您可以跳過本章節，不影響您使用微服務云應用平臺的其他功能。

概念

主賬號：用戶在天翼云注冊后自動創建，該賬號對其所擁有的資源具有完全的訪問權限，可以重置用戶密碼、分配用戶權限等。如果需要多人共同使用天翼云資源，由于賬號是付費主體為了確保賬號安全，建議創建子用戶來進行日常管理工作。
子賬號：主賬號認證為企業賬號后，在天翼云用戶中心頁面創建出來的賬號。子賬號的用戶名、密碼統一由主賬號創建管理。子賬號同樣可以登錄訪問天翼云控制臺，登錄入口與主賬號相同，受主賬號賦予的權限限制。
企業項目：將云資源、企業成員按項目進行管理，通過企業項目將云資源、帶有權限的用戶組綁定到一起，用戶使用項目內云資源的權限受用戶組的授權限制。

注意

一個實例只能歸屬一個企業項目（可變更），一個子賬號可以同時在多個企業項目中。

策略：是描述一組權限集的語言，它可以精確地描述被授權的資源集和操作集，通過策略，用戶可以自由搭配需要授予的權限集。通過給用戶組授予策略，用戶組中的用戶就能獲得策略中定義的權限。策略中可定義“允許”的操作和“拒絕”的操作，“拒絕”的優先級大于“允許”。
系統策略：系統預置的常用權限集，主要針對不同云服務的只讀權限或管理員權限，比如對組件的只讀權限、普通用戶權限和管理員權限等等；系統策略只能用于授權，不能編輯和修改。
數據權限：看到的數據不一樣。主賬號看到所有實例，子賬號只能看到所屬項目中的實例。
功能權限：主賬號可以進行所有控制臺操作，子賬號對單個組件實例擁有的操作權限由主賬號授權。
功能權限授權：給子賬號在企業項目A下增加一個策略，即代表該子賬號對企業項目A下的實例擁有了策略中定義的權限，策略以外的操作會被禁止。默認情況下，新建的IAM用戶沒有任何權限，您需要將其加入用戶組，并給用戶組授予策略，才能使得用戶組中的用戶獲得策略定義的權限，這一過程稱為授權。具體授權請參考：用戶組授權-統一身份認證

微服務云應用平臺系統權限策略

默認情況下，新建的IAM用戶沒有任何權限，您需要將其加入用戶組，并給用戶組授予策略，才能使得用戶組中的用戶獲得策略定義的權限，這一過程稱為授權。授權后，用戶就可以基于策略內的權限對微服務云應用平臺進行操作。為方便使用，微服務云應用平臺已內置以下五種系統策略：

策略名稱	策略描述
微服務云應用平臺MSAP系統管理員	微服務云應用平臺MSAP系統管理員策略，擁有MSAP系統所有權限（適用于一類節點資源池）
微服務云應用平臺MSAP資源管理員	微服務云應用平臺MSAP系統資源管理員策略，負責與環境、集群相關的管理員權限（適用于一類節點資源池）
微服務云應用平臺MSAP資源運維人員	微服務云應用平臺MSAP系統資源運維策略，負責與環境、集群相關的運維權限（適用于一類節點資源池）
微服務云應用平臺MSAP應用管理員	微服務云應用平臺MSAP系統應用管理員策略，負責與應用相關的管理員權限（適用于一類節點資源池）
微服務云應用平臺MSAP應用運維人員	微服務云應用平臺MSAP系統應用運維策略，負責與應用相關的運維權限（適用于一類節點資源池）

注意

未授權微服務云應用平臺策略的子賬號是不能正常使用微服務云應用平臺系統功能，請參考主賬號給子賬號授權IAM權限策略流程。

每個策略所包含的微服務云應用平臺權限列表如下表格所示，其中，“√”表示支持，“x”表示不支持。

權限	微服務云應用平臺MSAP系統管理員	微服務云應用平臺MSAP資源管理員	微服務云應用平臺MSAP資源運維人員	微服務云應用平臺MSAP應用管理員	微服務云應用平臺MSAP應用運維人員
管理企業項目	√	√	√	√	√
查看環境	√	√	√	√	√
創建環境	√	√	x	x	x
更新環境	√	√	√	x	x
刪除環境	√	√	√	x	x
查看集群	√	√	√	√	√
管理集群	√	√	√	√	√
查看項目	√	√	√	√	√
創建項目	√	√	x	x	x
更新項目	√	√	√	x	x
刪除項目	√	√	√	x	x
查看應用	√	√	√	√	√
管理應用	√	x	x	√	√
查看應用分組	√	√	√	√	√
管理應用分組	√	√	√	√	√
查看技術棧	√	√	√	√	√
管理技術棧	√	√	√	√	√
查看制品庫	√	√	√	√	√
管理制品庫	√	x	x	√	√
查看應用實例	√	√	√	√	√
創建應用實例	√	x	x	√	x
管理應用實例	√	x	x	√	√
刪除應用實例	√	x	x	√	√
配置應用實例	√	√	√	√	√
查看Kubernetes配置	√	√	√	√	√
配置Kubernetes	√	√	√	√	√
查看Ingress路由	√	√	√	√	√
管理Ingress路由	√	√	√	√	√
批量運維	√	√	√	√	√
查看微服務配置	√	√	√	√	√
管理微服務配置	√	√	x	√	√
查看全鏈路流量控制	√	√	√	√	√
管理全鏈路流量控制	√	x	x	√	√
主子賬號	√	x	x	x	x
查看服務連接	√	√	√	√	√
管理服務連接	√	√	√	√	√
審計日志	√	x	x	x	x

微服務云應用平臺全量功能權限

模塊	權限	權限碼	權限范圍
企業項目	管理企業項目	msap:inst:manageEnterpriseProject	子賬號擁有此權限才可以查看對應的企業項目
環境規劃	查看環境	msap:inst:viewEnv	查看環境，部署單元等查看權限
	創建環境	msap:inst:createEnv	創建環境，部署單元權限
	更新環境	msap:inst:updateEnv	更新環境，部署單元權限
	刪除環境	msap:inst:deleteEnv	刪除環境，部署單元權限
	查看集群	msap:inst:viewCluster	查看集群
	管理集群	msap:inst:manageCluster	管理集群（包括導入權限，移除）
項目管理	查看項目	msap:inst:viewProject	查看項目，以及關聯的環境數據
	創建項目	msap:inst:createProject	創建項目
	更新項目	msap:inst:updateProject	更新項目，以及關聯的環境數據
	刪除項目	msap:inst:deleteProject	刪除項目
應用	查看應用	msap:inst:viewApplication	查看應用
	管理應用	msap:inst:manageApplication	管理應用，包括創建、更新、刪除應用
	查看應用分組	msap:inst:viewAppGroup	查看應用分組
	管理應用分組	msap:inst:manageAppGroup	管理應用分組，包括創建、更新、刪除應用分組
技術棧	查看技術棧	msap:inst:viewTechStack	查看技術棧
技術棧	管理技術棧	msap:inst:manageTechStack	管理技術棧，創建、更新、刪除技術棧
制品庫	查看制品庫	msap:inst:artifactory	查看制品庫，包括制品、鏡像、資源占用等查看權限
制品庫	管理制品庫	msap:inst:manageArtifactory	同步鏡像等權限
應用實例運維	查看應用實例	msap:inst:viewAppInst	涉及查看應用實例、發布單列表、批量發布單等一系列應用實例查看權限
	創建應用實例	msap:inst:createAppInst	創建應用實例
	管理應用實例	msap:inst:manageAppInst	涉及應用的更新、發布（發布單創建、更新、刪除）、生命周期管理等一些列操作權限
	刪除應用實例	msap:inst:deleteAppInst	刪除應用實例
	配置應用實例	msap:inst:configureAppInst	接口訪問配置；微服務治理
	查看Kubernetes配置	msap:inst:viewK8sConfiguration	查看Kubernates配置：配置項，保密字典，配置模板
	配置Kubernetes	msap:inst:configureK8s	配置Kubernates（增刪改）：配置項，保密字典，配置模板
	查看Ingress路由	msap:inst:viewIngress	查看Ingress應用路由
	管理Ingress路由	msap:inst:manageIngress	管理Ingress應用路由
	批量運維	msap:inst:batchOps	ECS批量運維
服務治理	查看微服務配置	msap:inst:msConfig	查看微服務配置
	管理微服務配置	msap:inst:manageMsConfig	管理微服務配置
	查看全鏈路流量控制	msap:inst:traffic	查看全鏈路流量控制
	管理全鏈路流量控制	msap:inst:manageTraffic	管理全鏈路流量控制
系統管理	主子賬號	msap:inst:viewAccount	查看主子賬號及子賬號權限策略
	查看服務連接	msap:inst:viewServiceConnect	查看服務連接
	管理服務連接	msap:inst:manageServiceConnect	管理服務連接
	審計日志	msap:inst:viewBgLog	查看審計日志權限

注意

微服務云應用平臺權限碼各個之間相互獨立，沒有相互依賴關系

亚欧色一区w666天堂,色情一区二区三区免费看,少妇特黄A片一区二区三区,亚洲人成网站999久久久综合,国产av熟女一区二区三区

智算服務

應用商城

定價

合作伙伴

開發者

支持與服務

了解天翼云

微服務云應用平臺

微服務云應用平臺

概述

概念

微服務云應用平臺系統權限策略

微服務云應用平臺全量功能權限

亚欧色一区w666天堂,色情一区二区三区免费看,少妇特黄A片一区二区三区,亚洲人成网站999久久久综合,国产av熟女一区二区三区

活動

智算服務

應用商城

定價

合作伙伴

開發者

支持與服務

了解天翼云

微服務云應用平臺

微服務云應用平臺

概述

概念

微服務云應用平臺系統權限策略

微服務云應用平臺全量功能權限