权限指在某种条件下允许或拒绝对某些资源执行某些操作,权限策略是一组访问权限的集合。
权限(Permission)
金山云使用权限来描述用户、用户组、角色对具体资源的访问能力,下面为您介绍云账号、子用户、资源创建者所拥有的权限:
- 云账号(资源属主)控制所有权限。
每个资源有且仅有一个资源属主,该资源属主必须是云账号,对资源拥有完全控制权限。
资源属主不一定是资源创建者。例如:一个子用户被授予创建资源的权限,该用户创建的资源归属于云账号,该用户是资源创建者但不是资源属主。
- 子用户(操作员)默认无任何权限。
子用户代表的是操作员,其所有操作都需被云账号显式授权。
新建的子用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和IAM操作资源。
- 资源创建者(子用户)默认对所创建资源没有任何权限。
子用户被授予创建资源的权限,用户将可以创建资源。
子用户默认对所创建资源没有任何权限,除非资源属主对子用户有显式的授权
权限策略(Policy)
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。
IAM支持以下两种权限策略:
- 系统策略:统一由金山云创建,用户只能使用不能修改,策略的版本更新由金山云维护。
- 自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。
通过为子用户、用户组或角色绑定权限策略,可以获得权限策略中指定的访问权限。
授权
授权是您将用户完成具体工作需要的权限策略授予给对应用户身份(子用户、用户组、角色)。对应用户身份获取到云服务权限后,可以对云服务进行操作。
- 授权的权限策略可以是系统策略也可以是自定义策略。
- 如果授权的权限策略被更新,更新后的权限策略自动生效,无需重新绑定权限策略。
金山云提供了云账号内授权和资源组内授权两级授权能力,您可以根据需要选择合理的授权模型。
云账号内授权模型
- 云账号内授权:对一个IAM身份主体添加权限策略时,该策略的可授权范围是云账号内的所有资源,这是最常见的一种权限模型。
资源组内授权模型
- 资源组内授权:在某个资源组内对一个IAM身份主体添加权限策略时,该策略的可授权范围仅是该资源组内的资源。
- 管理员:在资源组内拥有AdministratorAccess系统策略的用户,资源组创建者默认为管理员。资源组管理员可以在资源组的成员管理中添加其他的子用户,并在资源组内进行授权。