Управление разрешениями
IAM обеспечивает проверку подлинности удостоверений, управление разрешениями и контроль доступа, помогая обеспечить безопасный доступ к ресурсам.
С помощью IAM можно создавать пользователей IAM под своей учетной записью и назначать этим пользователям разрешения для управления их доступом к определенным ресурсам. Например, вы можете предоставить разрешения, позволяющие определенным специалистам по планированию проектов на вашем предприятии просматривать данные IAM, но запрещающие им выполнять любые операции с высоким риском, например удаление пользователей и проектов IAM.
Разрешения IAM
По умолчанию новые пользователи IAM не имеют разрешений. Чтобы назначить разрешения новым пользователям, добавьте их в одну или несколько групп и предоставьте разрешения этим группам. Пользователи наследуют разрешения от групп, к которым принадлежат пользователи, и могут выполнять определенные операции с облачными сервисами.
Разрешения можно предоставлять с помощью ролей и политик.
Роли — тип механизма авторизации с крупной степенью детализации, который определяет разрешения на уровне сервиса на основе обязанностей пользователя.
Существует только ограниченное количество ролей для предоставления разрешений пользователям.
При предоставлении разрешений с помощью ролей необходимо также назначать роли зависимостей.
Политики — тип детального механизма авторизации, который определяет разрешения, необходимые для выполнения операций с определенными облачными ресурсами при определенных условиях.
Этот механизм обеспечивает более гибкую авторизацию на основе политик и безопасный контроль доступа.
Например, можно предоставить пользователям ECS только разрешения, необходимые для управления определенным типом ресурсов ECS. Большинство политик содержат разрешения для определенных API, а разрешения определяются с помощью действий API.
Системные роли и политики, поддерживаемые IAM:
Название роли/политики |
Описание |
Тип |
Содержимое роли/политики |
|---|---|---|---|
FullAccess |
Полные разрешения для всех сервисов, поддерживающих авторизацию на основе политик. Пользователи с этими разрешениями могут выполнять операции со всеми сервисами. |
Системная политика |
FullAccess Policy
|
IAM ReadOnlyAccess |
Разрешения только для чтения IAM. Пользователи с этими разрешениями могут только просматривать данные IAM. |
Системная политика |
IAM ReadOnlyAccess Policy
|
Security Administrator |
Администратор аккаунта с полными разрешениями, включая разрешения на создание и удаление пользователей IAM. |
Системная роль |
Security Administrator Role
|
Agent Operator |
Оператор представительства (делегированная сторона) с разрешениями на переключение ролей и доступа к ресурсам делегирующей стороны. |
Системная роль |
Agent Operator Role
|
Tenant Guest |
Разрешения только для чтения для всех сервисов, кроме IAM. |
Системная политика |
Tenant Guest Role
|
Tenant Administrator |
Разрешения администратора для всех сервисов, кроме IAM. |
Системная политика |
Tenant Administrator Role
|
Общие операции, поддерживаемые каждой системной политикой или ролью IAM:
Операция |
Security Administrator |
Agent Operator |
FullAccess |
IAM ReadOnlyAccess |
|---|---|---|---|---|
Создание пользователей IAM |
Да |
Нет |
Да |
Нет |
Запрос сведений о пользователе IAM |
Да |
Нет |
Да |
Да |
Изменение сведений о пользователе IAM |
Да |
Нет |
Да |
Нет |
Запрос параметров безопасности пользователей IAM |
Да |
Нет |
Да |
Да |
Изменение параметров безопасности пользователей IAM |
Да |
Нет |
Да |
Нет |
Удаление пользователей IAM |
Да |
Нет |
Да |
Нет |
Создание групп пользователей |
Да |
Нет |
Да |
Нет |
Запрос сведений о группе пользователей |
Да |
Нет |
Да |
Да |
Изменение сведений о группе пользователей |
Да |
Нет |
Да |
Нет |
Добавление пользователей в группы пользователей |
Да |
Нет |
Да |
Нет |
Удаление пользователей из групп пользователей |
Да |
Нет |
Да |
Нет |
Удаление групп пользователей |
Да |
Нет |
Да |
Нет |
Назначение разрешений группам пользователей |
Да |
Нет |
Да |
Нет |
Удаление разрешений групп пользователей |
Да |
Нет |
Да |
Нет |
Создание пользовательских политик |
Да |
Нет |
Да |
Нет |
Изменение пользовательских политик |
Да |
Нет |
Да |
Нет |
Удаление пользовательских политик |
Да |
Нет |
Да |
Нет |
Запрос сведений о разрешениях |
Да |
Нет |
Да |
Да |
Создание представительств |
Да |
Нет |
Да |
Нет |
Запрашивающие представительства |
Да |
Нет |
Да |
Да |
Модифицирующие представительства |
Да |
Нет |
Да |
Нет |
Переключение ролей |
Нет |
Да |
Да |
Нет |
Удаление представительств |
Да |
Нет |
Да |
Нет |
Предоставление разрешений представительствам |
Да |
Нет |
Да |
Нет |
Удаление разрешений представительств |
Да |
Нет |
Да |
Нет |
Создание проектов |
Да |
Нет |
Да |
Нет |
Запрос проектов |
Да |
Нет |
Да |
Да |
Изменение проектов |
Да |
Нет |
Да |
Нет |
Удаление проектов |
Да |
Нет |
Да |
Нет |
Создание ключей доступа |
Да |
Нет |
Да |
Нет |
Запрос ключей доступа |
Да |
Нет |
Да |
Нет |
Изменение ключей доступа |
Да |
Нет |
Да |
Нет |
Удаление ключей доступа |
Да |
Нет |
Да |
Нет |
Создание поставщиков удостоверений |
Да |
Нет |
Да |
Нет |
Импорт файлов метаданных |
Да |
Нет |
Да |
Нет |
Запрос файлов метаданных |
Да |
Нет |
Да |
Да |
Запрос поставщиков удостоверений |
Да |
Нет |
Да |
Да |
Протоколы запросов |
Да |
Нет |
Да |
Да |
Запрос сопоставлений |
Да |
Нет |
Да |
Да |
Обновление поставщиков удостоверений |
Да |
Нет |
Да |
Нет |
Обновление протоколов |
Да |
Нет |
Да |
Нет |
Обновление сопоставлений |
Да |
Нет |
Да |
Нет |
Удаление поставщиков удостоверений |
Да |
Нет |
Да |
Нет |
Удаление протоколов |
Да |
Нет |
Да |
Нет |
Удаление сопоставлений |
Да |
Нет |
Да |
Нет |
Запрос квот |
Да |
Нет |
Да |
Нет |
Примечание
Tenant Guest и Tenant Administrator являются основными ролями, предоставляемыми IAM, и не содержат каких-либо конкретных разрешений. Поэтому эти две роли не перечислены в таблице.
для Dev & Test