Управление разрешениями IAM
IAM обеспечивает проверку подлинности удостоверений, управление разрешениями и контроль доступа, помогая обеспечить безопасный доступ к ресурсам.
С помощью IAM можно создавать пользователей IAM под своей учетной записью и назначать этим пользователям разрешения для управления их доступом к определенным ресурсам. Например, вы можете предоставить разрешения, позволяющие определенным специалистам по планированию проектов на вашем предприятии просматривать данные IAM, но запрещающие им выполнять любые операции с высоким риском, например удаление пользователей и проектов IAM.
Разрешения IAM
По умолчанию новые пользователи IAM не имеют разрешений. Чтобы назначить разрешения новым пользователям, добавьте их в одну или несколько групп и предоставьте разрешения этим группам. Пользователи наследуют разрешения от групп, к которым принадлежат пользователи, и могут выполнять определенные операции с облачными сервисами.
Разрешения можно предоставлять с помощью ролей и политик.
Роли — тип механизма авторизации с крупной степенью детализации, который определяет разрешения на уровне сервиса на основе обязанностей пользователя.
Существует только ограниченное количество ролей для предоставления разрешений пользователям.
При предоставлении разрешений с помощью ролей необходимо также назначать роли зависимостей.
Политики — тип детального механизма авторизации, который определяет разрешения, необходимые для выполнения операций с определенными облачными ресурсами при определенных условиях.
Этот механизм обеспечивает более гибкую авторизацию на основе политик и безопасный контроль доступа.
Например, можно предоставить пользователям ECS только разрешения, необходимые для управления определенным типом ресурсов ECS. Большинство политик содержат разрешения для определенных API, а разрешения определяются с помощью действий API.
Системные роли и политики, поддерживаемые IAM:
Название роли/политики | Описание | Тип | Содержимое роли/политики |
|---|---|---|---|
FullAccess | Полные разрешения для всех сервисов, поддерживающих авторизацию на основе политик. Пользователи с этими разрешениями могут выполнять операции со всеми сервисами. | Системная политика |
FullAccess Policy
|
IAM ReadOnlyAccess | Разрешения только для чтения IAM. Пользователи с этими разрешениями могут только просматривать данные IAM. | Системная политика |
IAM ReadOnlyAccess Policy
|
Security Administrator | Администратор аккаунта с полными разрешениями, включая разрешения на создание и удаление пользователей IAM. | Системная роль |
Security Administrator Role
|
Agent Operator | Оператор представительства (делегированная сторона) с разрешениями на переключение ролей и доступа к ресурсам делегирующей стороны. | Системная роль |
Agent Operator Role
|
Tenant Guest | Разрешения только для чтения для всех сервисов, кроме IAM. | Системная политика |
Tenant Guest Role
|
Tenant Administrator | Разрешения администратора для всех сервисов, кроме IAM. | Системная политика |
Tenant Administrator Role
|
Общие операции, поддерживаемые каждой системной политикой или ролью IAM:
Операция | Security Administrator | Agent Operator | FullAccess | IAM ReadOnlyAccess |
|---|---|---|---|---|
Создание пользователей IAM | Да | Нет | Да | Нет |
Запрос сведений о пользователе IAM | Да | Нет | Да | Да |
Изменение сведений о пользователе IAM | Да | Нет | Да | Нет |
Запрос параметров безопасности пользователей IAM | Да | Нет | Да | Да |
Изменение параметров безопасности пользователей IAM | Да | Нет | Да | Нет |
Удаление пользователей IAM | Да | Нет | Да | Нет |
Создание групп пользователей | Да | Нет | Да | Нет |
Запрос сведений о группе пользователей | Да | Нет | Да | Да |
Изменение сведений о группе пользователей | Да | Нет | Да | Нет |
Добавление пользователей в группы пользователей | Да | Нет | Да | Нет |
Удаление пользователей из групп пользователей | Да | Нет | Да | Нет |
Удаление групп пользователей | Да | Нет | Да | Нет |
Назначение разрешений группам пользователей | Да | Нет | Да | Нет |
Удаление разрешений групп пользователей | Да | Нет | Да | Нет |
Создание пользовательских политик | Да | Нет | Да | Нет |
Изменение пользовательских политик | Да | Нет | Да | Нет |
Удаление пользовательских политик | Да | Нет | Да | Нет |
Запрос сведений о разрешениях | Да | Нет | Да | Да |
Создание представительств | Да | Нет | Да | Нет |
Запрашивающие представительства | Да | Нет | Да | Да |
Модифицирующие представительства | Да | Нет | Да | Нет |
Переключение ролей | Нет | Да | Да | Нет |
Удаление представительств | Да | Нет | Да | Нет |
Предоставление разрешений представительствам | Да | Нет | Да | Нет |
Удаление разрешений представительств | Да | Нет | Да | Нет |
Создание проектов | Да | Нет | Да | Нет |
Запрос проектов | Да | Нет | Да | Да |
Изменение проектов | Да | Нет | Да | Нет |
Удаление проектов | Да | Нет | Да | Нет |
Создание ключей доступа | Да | Нет | Да | Нет |
Запрос ключей доступа | Да | Нет | Да | Нет |
Изменение ключей доступа | Да | Нет | Да | Нет |
Удаление ключей доступа | Да | Нет | Да | Нет |
Создание поставщиков удостоверений | Да | Нет | Да | Нет |
Импорт файлов метаданных | Да | Нет | Да | Нет |
Запрос файлов метаданных | Да | Нет | Да | Да |
Запрос поставщиков удостоверений | Да | Нет | Да | Да |
Протоколы запросов | Да | Нет | Да | Да |
Запрос сопоставлений | Да | Нет | Да | Да |
Обновление поставщиков удостоверений | Да | Нет | Да | Нет |
Обновление протоколов | Да | Нет | Да | Нет |
Обновление сопоставлений | Да | Нет | Да | Нет |
Удаление поставщиков удостоверений | Да | Нет | Да | Нет |
Удаление протоколов | Да | Нет | Да | Нет |
Удаление сопоставлений | Да | Нет | Да | Нет |
Запрос квот | Да | Нет | Да | Нет |
Tenant Guest и Tenant Administrator являются основными ролями, предоставляемыми IAM, и не содержат каких-либо конкретных разрешений. Поэтому эти две роли не перечислены в таблице.
- Разрешения IAM