Если вам нужно назначать разные разрешения сотрудникам в вашем enterprise для доступа к вашим ресурсам ECS, IAM является хорошим выбором для управления разрешениями с тонкой гранулярностью. IAM предоставляет аутентификацию идентичности, управление разрешениями и контроль доступа, помогая вам обеспечить безопасный доступ к вашим ресурсам.
С IAM вы можете использовать свою учётную запись для создания IAM‑пользователей и назначения разрешений пользователям, чтобы контролировать их доступ к конкретным ресурсам. Например, некоторые разработчики программного обеспечения в вашем enterprise должны использовать ресурсы ECS, но им не следует позволять удалять ресурсы или выполнять любые другие операции с высоким риском. В этом случае вы можете создать IAM‑пользователей для разработчиков программного обеспечения и предоставить им только необходимые разрешения для использования ресурсов ECS.
Если вашей учётной записи не нужны отдельные IAM‑пользователи для управления разрешениями, пропустите этот раздел.
IAM — это бесплатный сервис. Вы платите только за ресурсы в своей учётной записи. Для получения дополнительной информации о IAM см. Обзор сервиса IAM.
По умолчанию новые пользователи IAM не имеют назначенных разрешений. Необходимо добавить пользователя в одну или несколько групп и присоединить политики разрешений или роли к этим группам. Пользователи наследуют разрешения от групп, в которые они добавлены, и могут выполнять указанные операции над облачными сервисами на основе разрешений.
ECS — это сервис уровня проекта, развернутый для конкретных регионов. Чтобы назначить разрешения ECS группе пользователей, укажите область как проекты, специфичные для региона, и выберите проекты, для которых разрешения вступят в силу. Если вы выберете All projects, разрешения вступят в силу для групп пользователей во всех проектах, специфичных для регионов. При доступе к ECS пользователям необходимо переключиться в регион, где у них есть разрешения на использование этого сервиса.
Вы можете предоставлять пользователям разрешения, используя роли и политики.
Большинство политик определяют разрешения на основе API. Для действий API, поддерживаемых ECS, см. «Permissions and Supported Actions» в Elastic Cloud Server Справочник API.
Таблица 1 и Таблица 2 вывести список всех системно-определённых политик и ролей ECS.
Имя политики/роли | Описание | Содержание политики |
|---|---|---|
ECS FullAccess | Разрешения администратора для ECS. Пользователи, получившие эти разрешения, могут выполнять все операции с ECS, включая создание, удаление и просмотр ECS, а также изменение спецификаций ECS. | |
ECS CommonOperations | Общие разрешения пользователя для ECS. Пользователи, получившие эти разрешения, могут запускать, останавливать, перезапускать и запрашивать ECS. | |
ECS ReadOnlyAccess | Разрешения только для чтения ECS. Пользователи, получившие эти разрешения, могут только просматривать данные ECS. |
Имя роли | Описание | Содержание роли |
|---|---|---|
Администратор сервера | Полные разрешения для ECS. Эта роль должна использоваться вместе с the Тенант Гость роль в том же проекте. Если пользователь нуждается в создании, удалении или изменении ресурсов других сервисов, пользователь также должен получить права администратора соответствующих сервисов в том же проекте. Например, если пользователю необходимо создать VPC при создании ECS, пользователь также должен получить разрешения с VPC Администратор роль. |
Таблица 3 перечисляет общие операции, поддерживаемые каждой Системно-определенной политикой ECS. Выберите политики по мере необходимости.
Операция | ECS FullAccess | ECS CommonOperations | ECS ReadOnlyAccess |
|---|---|---|---|
Создание ECS | Поддерживается | Не поддерживается | Не поддерживается |
Удаленный вход в ECS через консоль управления | Поддерживается | Поддерживается | Не поддерживается (VNC вход не поддерживается) |
Запрос списка ECS | Поддерживается | Поддерживается | Поддерживается |
Запрос деталей ECS | Поддерживается | Поддерживается | Поддерживается |
Изменение деталей ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запуск ECS | Поддерживается | Поддерживается | Не поддерживается |
Остановка ECS | Поддерживается | Поддерживается | Не поддерживается |
Перезапуск ECS | Поддерживается | Поддерживается | Не поддерживается |
Удаление ECS | Поддерживается | Не поддерживается | Не поддерживается |
Переустановка ОС ECS | Поддерживается | Не поддерживается | Не поддерживается |
Изменение ОС ECS | Поддерживается | Не поддерживается | Не поддерживается |
Подключение диска к ECS | Поддерживается | Не поддерживается | Не поддерживается |
Отсоединение диска от ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка дисков | Поддерживается | Поддерживается | Поддерживается |
Подключение NIC к ECS | Поддерживается | Не поддерживается | Не поддерживается |
Отсоединение NIC от ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка NIC | Поддерживается | Поддерживается | Поддерживается |
Добавление тегов к ECS | Поддерживается | Поддерживается | Не поддерживается |
Изменение спецификаций ECS | Поддерживается | Не поддерживается | Не поддерживается |
Запрос списка флейворов ECS | Поддерживается | Поддерживается | Поддерживается |
Запрос групп ECS | Поддерживается | Поддерживается | Поддерживается |
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:*","evs:*:get","evs:*:list","evs:volumes:create","evs:volumes:delete","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:update","evs:volumes:use","evs:volumes:uploadImage","evs:snapshots:create","vpc:*:get","vpc:*:list","vpc:networks:create","vpc:networks:update","vpc:subnets:update","vpc:subnets:create","vpc:ports:*","vpc:routers:get","vpc:routers:update","vpc:securityGroups:*","vpc:securityGroupRules:*","vpc:floatingIps:*","vpc:publicIps:*","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"]}]}
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:get*","ecs:*:list*","ecs:*:start","ecs:*:stop","ecs:*:reboot","ecs:blockDevice:use","ecs:cloudServerFpgaImages:relate","ecs:cloudServerFpgaImages:register","ecs:cloudServerFpgaImages:delete","ecs:cloudServerFpgaImages:unrelate","ecs:cloudServers:setAutoRecovery","ecs:cloudServerPasswords:reset","ecs:cloudServerPorts:modify","ecs:cloudServers:vnc","ecs:diskConfigs:use","ecs:securityGroups:use","ecs:serverGroups:manage","ecs:serverFloatingIps:use","ecs:serverKeypairs:*","ecs:serverPasswords:manage","ecs:servers:createConsole","ecs:servers:createImage","ecs:servers:setMetadata","ecs:servers:setTags","ecs:serverVolumes:use","evs:*:get*","evs:*:list*","evs:snapshots:create","evs:volumes:uploadImage","evs:volumes:delete","evs:volumes:update","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:use","vpc:*:get*","vpc:*:list*","vpc:floatingIps:create","vpc:floatingIps:update","vpc:floatingIps:delete","vpc:publicIps:update","vpc:publicIps:delete","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"]}]}
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ecs:*:get*","ecs:*:list*","ecs:serverGroups:manage","ecs:serverVolumes:use","evs:*:get*","evs:*:list*","vpc:*:get*","vpc:*:list*","ims:*:get*","ims:*:list*"]}]}
{"Version": "1.1","Statement": [{"Action": ["ecs:*:*","evs:*:get","evs:*:list","evs:volumes:create","evs:volumes:delete","evs:volumes:attach","evs:volumes:detach","evs:volumes:manage","evs:volumes:update","evs:volumes:uploadImage","evs:snapshots:create","vpc:*:get","vpc:*:list","vpc:networks:create","vpc:networks:update","vpc:subnets:update","vpc:subnets:create","vpc:routers:get","vpc:routers:update","vpc:ports:*","vpc:privateIps:*","vpc:securityGroups:*","vpc:securityGroupRules:*","vpc:floatingIps:*","vpc:publicIps:*","vpc:bandwidths:*","vpc:firewalls:*","ims:images:create","ims:images:delete","ims:images:get","ims:images:list","ims:images:update","ims:images:upload"],"Effect": "Allow"}]}