統一身份認證IAM介紹

統一身份認證（Identity and Access Management，簡稱IAM）服務，是提供用戶進行權限管理的基礎服務，可以幫助您安全的控制云服務和資源的訪問及操作權限。

IAM為您提供的主要功能包括：精細的權限管理、安全訪問、通過用戶組批量管理用戶權限、委托其他帳號管理資源等。

身份管理

訪問控制IAM中的身份包括IAM用戶、IAM用戶組。

IAM用戶有確定的登錄密碼和訪問密鑰，IAM用戶組則用于分類職責相同的IAM用戶，IAM用戶和IAM用戶組均可以被賦予一組權限策略。在需要協同使用資源的場景中，避免直接共享天翼云賬號的密碼等信息，縮小不同IAM子用戶的信息可見范圍，可為IAM子用戶和IAM用戶組按需授權，即使不慎泄露機密信息，也不會危及天翼云賬號下的所有資源。

權限管理

統一身份認證IAM通過權限策略描述授權的具體內容，權限策略包括固定的基本元素“Action”“Effect”等，更多信息，請參見“創建自定義策略”。為IAM用戶、IAM用戶組在全局授權或企業項目授權中添加一組權限策略后，即可讓其有權限訪問指定資源。

權限策略分為系統策略和自定義策略:

• 系統策略 ：預置的系統策略，您只能使用不能修改。云搜索服務相關的系統策略包含如下：

  • csx admin：云搜索服務的管理者權限，包含云搜索服務所有控制權限（不含訂單類權限）；

  • csx user: 云搜索服務的使用者權限，包含云搜索服務的列表頁與詳情頁面等查看權限；

• 自定義策略 ：您按需自行創建和維護的權限策略，關于自定義策略的操作和示例，請參見“創建自定義策略”。

天翼云支持對用戶組/子用戶，進行資源池或全局維度的權限授權；同時也支持在企業項目中，對用戶組進行資源組維度的權限授權。部分沒有企業項目屬性的接口或資源，授權只能以資源池或全局維度進行。以資源池或全局維度進行的授權判斷，其優先級高于企業項目中的資源組維度授權。

通過IAM用戶控制資源訪問

在協同使用資源的場景下，根據實際的職責權限情況，您可以創建多個IAM用戶并為其授予不同的權限，實現不同IAM子用戶可以分權管理不同的資源，從而提高管理效率，降低信息泄露風險。

授權策略權限操作步驟

創建IAM子用戶

您可通過天翼云官網“賬號中心”進入到天翼云官網的統一身份認證（IAM）服務中。點擊“用戶”>“創建用戶”來為當前賬號創建子用戶。

根據頁面提示輸入信息，完成子用戶創建。

創建完的子用戶需要加入用戶組，并對該用戶組賦予云搜索服務預設的系統策略，該子用戶才能共享主賬號的云搜索實例。

創建自定義策略（可選）

策略分為用戶可以自行定義的自定義策略，以及預定義在平臺錄入的系統策略兩類。

細粒度授權策略結構包括策略版本號（Version）及策略授權語句（Statement）列表。

• 策略版本號：Version，標識策略結構的版本號。

• 策略授權語句：Statement，包括了基本元素：作用（Effect）和權限集（Action）。

  • 作用（Effect）包含兩種：允許（Allow）和拒絕（Deny）。

  • 授權項（Action）是對資源的具體操作權限，支持單個或多個操作權限。

腳本配置策略示例：為IAM子用戶配置云搜索服務查看者權限, 以及管理員的部分權限，如重啟、開啟關閉備份（*代表取所有值）。

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "ctcsx:instance:describeInstances",
                "ctcsx:snapshot:describeSnapshotRule",
                "ctcsx:snapshot:describeSnapshot",
                "ctcsx:instance:describeSettingsInfo",
                "ctcsx:instance:describeSecurityInfo",
                "ctcsx:instance:describePlugin",
                "ctcsx:instance:describeLogstashInstance",
                "ctcsx:pipeline:describeLogstashPipe",
                "ctcsx:pipeline:describeLogstashPipeInfo",
                "ctcsx:instance:restartInstance",
                "ctcsx:snapshot:createSnapshot",
                "ctcsx:snapshot:closeSnapshot"
                "vpce:*:list",
                "vpce:*:get",
                "zos:*:List",
                "zos:*:Get",
                "vpc:*:list",
                "vpc:*:get",
                "elb:*:list",
                "elb:*:get",
                "ecs:*:list",
                "ecs:*:get",
                "evs:*:list",
                "evs:*:get"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

授權系統/自定義策略

授予IAM用戶訪問所創建的自定義策略范圍中的資源，具體操作參見“用戶組授權”；您也可以直接使用天翼云預置的產品系統策略對IAM子用戶進行授權。

如需為指定云搜索實例創建用戶，進行更細粒度的權限管控，請參見云搜索服務內實例用戶及權限。