Если вам нужно назначить разные разрешения сотрудникам в вашем enterprise для доступа к вашим ресурсам ECS, IAM является хорошим выбором для управления тонко‑гранулированными разрешениями. IAM предоставляет аутентификацию личности, управление разрешениями и контроль доступа, помогая вам обеспечить безопасность доступа к вашим ресурсам.
С помощью IAM вы можете использовать свою учетную запись для создания IAM‑пользователей и назначать разрешения пользователям для контроля их доступа к определённым ресурсам. Например, некоторым разработчикам программного обеспечения в вашем enterprise необходимо использовать ресурсы ECS, но им не должно быть разрешено удалять ресурсы или выполнять любые другие операции с высоким риском. В этом сценарии вы можете создать IAM‑пользователей для разработчиков и предоставить им только разрешения, необходимые для использования ресурсов ECS.
Если вашей учетной записи не нужны отдельные IAM‑пользователи для управления разрешениями, пропустите этот раздел.
IAM — это бесплатный сервис. Вы платите только за ресурсы в своей учетной записи. Для получения дополнительной информации об IAM см. Обзор сервиса IAM.
Разрешения ECS
По умолчанию новые IAM пользователи не имеют назначенных разрешений. Вам необходимо добавить пользователя в одну или несколько групп и прикрепить политики разрешений или роли к этим группам. Пользователи наследуют разрешения от групп, в которые они добавлены, и могут выполнять указанные операции в облачных сервисах на основе разрешений.
ECS — это сервис уровня проекта, развернутый и доступный в определённых физических регионах. Чтобы назначить разрешения ECS группе пользователей, укажите область как проекты, специфичные для региона, и выберите проекты, чтобы разрешения вступили в силу. Если вы выберете Все проекты, разрешения вступят в силу для групп пользователей во всех проектах, специфичных для региона. При доступе к ECS пользователям нужно переключиться в регион, где у них есть разрешения на использование этого сервиса.
Вы можете предоставить пользователям разрешения, используя роли и политики.
- Роли: Тип грубо гранулированного механизма авторизации, определяющего разрешения, связанные с обязанностями пользователя. Этот механизм предоставляет лишь ограниченное количество ролей уровня сервиса для авторизации. При использовании ролей для предоставления разрешений необходимо также назначать другие роли, от которых зависят разрешения, чтобы они вступили в силу. Однако роли не являются идеальным выбором для детализированной авторизации и безопасного контроля доступа.
- Политики: Тонкая стратегия авторизации, определяющая разрешения, необходимые для выполнения операций над конкретными облачными ресурсами при определённых условиях. Этот механизм позволяет более гибкую авторизацию на основе политик, удовлетворяя требования к безопасному контролю доступа. Например, вы можете предоставить пользователям ECS только разрешения для управления определённым типом ECS.
Большинство политик определяют разрешения на основе API. Для действий API, поддерживаемых ECS, см. "Permissions Policies and Supported Actions" in Elastic Cloud Server справочник API.
Таблица 1 и Таблица 2 вывести список всех системно-определённых политик и ролей ECS.
Название политики/роли | Описание | Содержание политики |
|---|---|---|
ECS FullAccess | Разрешения администратора для ECS. Пользователи, получившие эти разрешения, могут выполнять все операции над ECS, включая создание, удаление и просмотр ECS, а также изменение спецификаций ECS. | |
ECS CommonOperations | Общие разрешения пользователя для ECS. Пользователи, получившие эти разрешения, могут запускать, останавливать, перезапускать и выполнять запросы к ECS. | |
ECS ReadOnlyAccess | Разрешения только для чтения для ECS. Пользователи, получившие эти разрешения, могут только просматривать данные ECS. |
Имя роли | Описание | Содержимое роли |
|---|---|---|
Администратор сервера | Полные разрешения для ECS. Эта роль должна использоваться вместе с the Гость арендатора роль в том же проекте. Если пользователю необходимо создавать, удалять или изменять ресурсы других сервисов, пользователю также должны быть предоставлены разрешения администратора соответствующих сервисов в том же проекте. Например, если пользователю необходимо создать VPC при создании ECS, пользователю также должны быть предоставлены разрешения с VPC Administrator роль. |
Таблица 3 перечисляет общие операции, поддерживаемые каждой системно-определенной политикой ECS. Выберите политики по необходимости.
Операция | ECS FullAccess | ECS CommonOperations | ECS ReadOnlyAccess |
|---|---|---|---|
Создание ECS | Поддерживается | Не поддерживается | Не поддерживается |
Удалённый вход в ECS через консоль управления | Поддерживается | Поддерживается | Не поддерживается (VNC вход не поддерживается) |
Запрос списка ECS | Поддерживается | Поддерживается | Поддерживается |
Запрос деталей ECS | Поддерживается | Поддерживается | Поддерживается |
Изменение деталей ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запуск ECS | Поддерживается | Поддерживается | Не поддерживается |
Остановка ECS | Поддерживается | Поддерживается | Не поддерживается |
Перезапуск ECS | Поддерживается | Поддерживается | Не поддерживается |
Удаление ECS | Поддерживается | Не поддерживается | Не поддерживается |
Переустановка ОС ECS | Поддерживается | Не поддерживается | Не поддерживается |
Смена ОС ECS | Поддерживается | Не поддерживается | Не поддерживается |
Подключение диска к ECS | Поддерживается | Не поддерживается | Не поддерживается |
Отсоединение диска от ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка дисков | Поддерживается | Поддерживается | Поддерживается |
Подключение NIC к ECS | Поддерживается | Не поддерживается | Не поддерживается |
Отсоединение NIC от ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка NIC | Поддерживается | Поддерживается | Поддерживается |
Добавление тегов к ECS | Поддерживается | Поддерживается | Не поддерживается |
Изменение спецификаций ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка Флейворов ECS | Поддерживается | Поддерживается | Поддерживается |
Запрос групп ECS | Поддерживается | Поддерживается | Поддерживается |
ECS Содержание политики FullAccess
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:*","evs:*:get","evs:*:list","evs:volumes:create","evs:volumes:delete","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:update","evs:volumes:use","evs:volumes:uploadImage","evs:snapshots:create","vpc:*:get","vpc:*:list","vpc:networks:create","vpc:networks:update","vpc:subnets:update","vpc:subnets:create","vpc:ports:*","vpc:routers:get","vpc:routers:update","vpc:securityGroups:*","vpc:securityGroupRules:*","vpc:floatingIps:*","vpc:publicIps:*","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"]}]}
ECS Содержание политики CommonOperations
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:get*","ecs:*:list*","ecs:*:start","ecs:*:stop","ecs:*:reboot","ecs:blockDevice:use","ecs:cloudServerFpgaImages:relate","ecs:cloudServerFpgaImages:register","ecs:cloudServerFpgaImages:delete","ecs:cloudServerFpgaImags:unrelate","ecs:cloudServers:setAutoRecovery","ecs:cloudServerPasswords:reset","ecs:cloudServerPorts:modify","ecs:cloudServers:vnc","ecs:diskConfigs:use","ecs:securityGroups:use","ecs:serverGroups:manage","ecs:serverFloatingIps:use","ecs:serverKeypairs:*","ecs:serverPasswords:manage","ecs:servers:createConsole","ecs:servers:createImage","ecs:servers:setMetadata","ecs:servers:setTags","ecs:serverVolumes:use","evs:*:get*","evs:*:list*","evs:snapshots:create","evs:volumes:uploadImage","evs:volumes:delete","evs:volumes:update","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:use","vpc:*:get*","vpc:*:list*","vpc:floatingIps:create","vpc:floatingIps:update","vpc:floatingIps:delete","vpc:publicIps:update","vpc:publicIps:delete","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"]}]}
ECS Содержание политики ReadOnlyAccess
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:get*","ecs:*:list*","ecs:serverGroups:manage","ecs:serverVolumes:use","evs:*:get*","evs:*:list*","vpc:*:get*","vpc:*:list*","ims:*:get*","ims:*:list*"]}]}
Содержание роли Server Administrator
{"Version": "1.1","Statement": [{"Action": ["ecs:*:*","evs:*:get","evs:*:list","evs:volumes:create","evs:volumes:delete","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:update","evs:volumes:uploadImage","evs:snapshots:create","vpc:*:get","vpc:*:list","vpc:networks:create","vpc:networks:update","vpc:subnets:update","vpc:subnets:create","vpc:routers:get","vpc:routers:update","vpc:ports:*","vpc:privateIps:*","vpc:securityGroups:*","vpc:securityGroupRules:*","vpc:floatingIps:*","vpc:publicIps:*","vpc:bandwidths:*","vpc:firewalls:*","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"],"Effect": "Allow"}]}