物联网啊

最近更新时间:2019-08-26 20:08:30

什么是身份与访问控制?

身份与访问控制是金山云推出的,满足精细化的权限控制需求的服务。当您的公司在使用云物理主机、弹性IP、虚拟私有网络,负载均衡时,不同云资源可能由不同人员管理,您可能需要:

  • 同子公司之间资源隔离、财务独立核算,同时集团公司可以集中管理、查询全部子公司的资源和财务情况。
  • 每位员工有不同的访问权限,以分开管理云资源,比如不同部门管理各自的物理云主机。
  • 与其他企业进行云资源的共享,并随时控制其他企业对云资源的操作权限。

这时,您就可以使用 IAM 实现精细化的权限控制需求。

基本用语

账号组

账号组也可称为集团账号,是金山云为大客户提供的三级账号体系的组成部分。利用账号组,可以管理隶属于同一个集团/公司/组织下面的多个成员账号,每个成员账号所拥有的云资源是完全隔离的,可以被独立授权管理,账号组拥有统一管理各成员账号资源的功能。

账号

账号(或称主账号、成员账号)是客户在金山云资源归属、资源计量、资源计费的主体,拥有名下全部资源的完全控制权限,能够对资源进行购买、续费、退订、升级等操作。

IAM用户

IAM用户是账号下的授权实体,不拥有任何云计算资源、不能独立计量和计费,只能被主账号授权管理其名下的各种资源,其所管理的资源归属于主账号(由主账号付费)。

角色

IAM角色是一种虚拟用户(或影子账号),它是IAM用户类型的一种。与普通IAM用户的差别主要在使用方法上,IAM角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得IAM角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。主要用于解决身份联盟(Identity Federation)相关需求,比如联合您的企业本地账号实现SSO (Single-Sign-On)、委托其他云账号及其下IAM用户操作您所控制的资源、委托云服务操作您所控制的资源。

云资源

资源是金山云的客户操作或者使用云服务的对象实体,比如云服务器实例、EIP实例等;为方便在IAM的策略文档中描述一个资源,我们使用KRN(Kingsoft Resource Name)唯一标识一个金山云资源。

策略

指一个金山云账号下的授权策略,代表了一组权限(目标操作&目标资源);金山云支持全局系统策略和自定义策略。

全局系统策略

全局系统策略,能帮助您快速授权,而不需要编写策略,缺点是授权的精度会粗些,以下是EPC和网络相关全局系统策略:

策略中文名称 策略名称 策略KRN 策略描述 策略版本 是否默认策略
EPC管理员(控制台&openAPI) EPCFullAccess krn:ksc:iam::ksc:policy/EPCFullAccess 提供云物理主机功能全部管理权限(控制台&openAPI) v1
EPC查询管理员(控制台&openAPI) EPCReadOnlyAccess krn:ksc:iam::ksc:policy/EPCReadOnlyAccess 提供云物理主机查询管理权限(控制台&openAPI) v1
VPC管理员(API) VPCFullAccess krn:ksc:iam::ksc:policy/VPCFullAccess 提供虚拟专有网络全部openAPI接口管理权限 v1
VPC查询管理员(API) VPCReadOnlyAccess krn:ksc:iam::ksc:policy/VPCReadOnlyAccess 提供虚拟专有网络查询openAPI接口管理权限 v1
VPC管理员(控制台) VPCConsoleFullAccess krn:ksc:iam::ksc:policy/VPCConsoleFullAccess 提供虚拟专有网络和EIP控制台功能全部管理权限 v1
VPC查询管理员(控制台) VPCConsoleReadOnlyAccess krn:ksc:iam::ksc:policy/VPCConsoleReadOnlyAccess 提供虚拟专有网络控制台查询功能全部管理权限 v1
弹性IP管理员(API) EIPFullAccess krn:ksc:iam::ksc:policy/EIPFullAccess 提供弹性IP全部openAPI接口管理权限 v1
弹性IP查询管理员(API) EIPReadOnlyAccess krn:ksc:iam::ksc:policy/EIPReadOnlyAccess 提供弹性IP查询openAPI接口管理权限 v1
弹性IP管理员(控制台) EIPConsoleFullAccess krn:ksc:iam::ksc:policy/EIPConsoleFullAccess 提供弹性IP控制台功能全部管理权限 v1
弹性IP查询管理员(控制台) EIPConsoleReadOnlyAccess krn:ksc:iam::ksc:policy/EIPConsoleReadOnlyAccess 提供弹性IP控制台查询功能全部管理权限 v1
负载均衡管理员(API) SLBFullAccess krn:ksc:iam::ksc:policy/SLBFullAccess 提供负载均衡全部openAPI功能管理权限 v1
负载均衡查询管理员(API) SLBReadOnlyAccess krn:ksc:iam::ksc:policy/SLBReadOnlyAccess 提供负载均衡查询openAPI的管理权限 v1
负载均衡管理员(控制台) SLBConsoleFullAccess krn:ksc:iam::ksc:policy/SLBConsoleFullAccess 提供负载均衡和EIP控制台全部管理权限 v1
负载均衡查询管理员(控制台) SLBConsoleReadOnlyAccess krn:ksc:iam::ksc:policy/SLBConsoleReadOnlyAccess 提供负载均衡控制台查询功能全部管理权限 v1

鉴权失败

当您在使用金山云控制台或者 OpenAPI时遇到类似提示,说明您没有被授予操作权限。请联系有 IAM 管理权限的人员为您的 IAM 账号关联相应策略。 物联网啊

授权方法如下:

  • 在身份与管理--->策略管理中查看全局系统策略,找到相应的策略,关联对象。

  • 在身份与管理--->策略管理--->自定义策略中查看是否有相应策略,如果有,直接关联对象;如果没有,创建自定义策略,创建成功后关联对象。

金山云,开启您的云计算之旅

免费注册