tocdepth

2

Управление разрешениями IAM

IAM обеспечивает проверку подлинности удостоверений, управление разрешениями и контроль доступа, помогая обеспечить безопасный доступ к ресурсам.

С помощью IAM можно создавать пользователей IAM под своей учетной записью и назначать этим пользователям разрешения для управления их доступом к определенным ресурсам. Например, вы можете предоставить разрешения, позволяющие определенным специалистам по планированию проектов на вашем предприятии просматривать данные IAM, но запрещающие им выполнять любые операции с высоким риском, например удаление пользователей и проектов IAM.

Разрешения IAM

По умолчанию новые пользователи IAM не имеют разрешений. Чтобы назначить разрешения новым пользователям, добавьте их в одну или несколько групп и предоставьте разрешения этим группам. Пользователи наследуют разрешения от групп, к которым принадлежат пользователи, и могут выполнять определенные операции с облачными сервисами.

Разрешения можно предоставлять с помощью ролей и политик.

  • Роли — тип механизма авторизации с крупной степенью детализации, который определяет разрешения на уровне сервиса на основе обязанностей пользователя.

    Существует только ограниченное количество ролей для предоставления разрешений пользователям.

    При предоставлении разрешений с помощью ролей необходимо также назначать роли зависимостей.

  • Политики — тип детального механизма авторизации, который определяет разрешения, необходимые для выполнения операций с определенными облачными ресурсами при определенных условиях.

    Этот механизм обеспечивает более гибкую авторизацию на основе политик и безопасный контроль доступа.

    Например, можно предоставить пользователям ECS только разрешения, необходимые для управления определенным типом ресурсов ECS. Большинство политик содержат разрешения для определенных API, а разрешения определяются с помощью действий API.

Системные роли и политики, поддерживаемые IAM:

Название роли/политики

Описание

Тип

Содержимое роли/политики

FullAccess

Полные разрешения для всех сервисов, поддерживающих авторизацию на основе политик. Пользователи с этими разрешениями могут выполнять операции со всеми сервисами.

Системная политика

FullAccess Policy

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

IAM ReadOnlyAccess

Разрешения только для чтения IAM. Пользователи с этими разрешениями могут только просматривать данные IAM.

Системная политика

IAM ReadOnlyAccess Policy

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "iam:*:get*",
                "iam:*:list*",
                "iam:*:check*"
            ],
            "Effect": "Allow"
        }
    ]
}

Security Administrator

Администратор аккаунта с полными разрешениями, включая разрешения на создание и удаление пользователей IAM.

Системная роль

Security Administrator Role

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:agencies:*",
                "iam:credentials:*",
                "iam:groups:*",
                "iam:identityProviders:*",
                "iam:mfa:*",
                "iam:permissions:*",
                "iam:projects:*",
                "iam:quotas:*",
                "iam:roles:*",
                "iam:users:*",
                "iam:securitypolicies:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Agent Operator

Оператор представительства (делегированная сторона) с разрешениями на переключение ролей и доступа к ресурсам делегирующей стороны.

Системная роль

Agent Operator Role

{
    "Version": "1.0",
    "Statement": [
        {
            "Action": [
                "iam:tokens:assume"
            ],
            "Effect": "Allow"
        }
    ]
}

Tenant Guest

Разрешения только для чтения для всех сервисов, кроме IAM.

Системная политика

Tenant Guest Role

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:get*",
                "obs:*:list*",
                "obs:*:head*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:get*",
                "*:*:list*",
                "*:*:head*"
            ],
            "Effect": "Allow"
        }
    ]
}

Tenant Administrator

Разрешения администратора для всех сервисов, кроме IAM.

Системная политика

Tenant Administrator Role

{
    "Version": "1.1",
    "Statement": [
        {
            "Action": [
                "obs:*:*"
            ],
            "Effect": "Allow"
        },
        {
            "Condition": {
                "StringNotEqualsIgnoreCase": {
                    "g:ServiceName": [
                        "iam"
                    ]
                }
            },
            "Action": [
                "*:*:*"
            ],
            "Effect": "Allow"
        }
    ]
}

Общие операции, поддерживаемые каждой системной политикой или ролью IAM:

Операция

Security Administrator

Agent Operator

FullAccess

IAM ReadOnlyAccess

Создание пользователей IAM

Да

Нет

Да

Нет

Запрос сведений о пользователе IAM

Да

Нет

Да

Да

Изменение сведений о пользователе IAM

Да

Нет

Да

Нет

Запрос параметров безопасности пользователей IAM

Да

Нет

Да

Да

Изменение параметров безопасности пользователей IAM

Да

Нет

Да

Нет

Удаление пользователей IAM

Да

Нет

Да

Нет

Создание групп пользователей

Да

Нет

Да

Нет

Запрос сведений о группе пользователей

Да

Нет

Да

Да

Изменение сведений о группе пользователей

Да

Нет

Да

Нет

Добавление пользователей в группы пользователей

Да

Нет

Да

Нет

Удаление пользователей из групп пользователей

Да

Нет

Да

Нет

Удаление групп пользователей

Да

Нет

Да

Нет

Назначение разрешений группам пользователей

Да

Нет

Да

Нет

Удаление разрешений групп пользователей

Да

Нет

Да

Нет

Создание пользовательских политик

Да

Нет

Да

Нет

Изменение пользовательских политик

Да

Нет

Да

Нет

Удаление пользовательских политик

Да

Нет

Да

Нет

Запрос сведений о разрешениях

Да

Нет

Да

Да

Создание представительств

Да

Нет

Да

Нет

Запрашивающие представительства

Да

Нет

Да

Да

Модифицирующие представительства

Да

Нет

Да

Нет

Переключение ролей

Нет

Да

Да

Нет

Удаление представительств

Да

Нет

Да

Нет

Предоставление разрешений представительствам

Да

Нет

Да

Нет

Удаление разрешений представительств

Да

Нет

Да

Нет

Создание проектов

Да

Нет

Да

Нет

Запрос проектов

Да

Нет

Да

Да

Изменение проектов

Да

Нет

Да

Нет

Удаление проектов

Да

Нет

Да

Нет

Создание ключей доступа

Да

Нет

Да

Нет

Запрос ключей доступа

Да

Нет

Да

Нет

Изменение ключей доступа

Да

Нет

Да

Нет

Удаление ключей доступа

Да

Нет

Да

Нет

Создание поставщиков удостоверений

Да

Нет

Да

Нет

Импорт файлов метаданных

Да

Нет

Да

Нет

Запрос файлов метаданных

Да

Нет

Да

Да

Запрос поставщиков удостоверений

Да

Нет

Да

Да

Протоколы запросов

Да

Нет

Да

Да

Запрос сопоставлений

Да

Нет

Да

Да

Обновление поставщиков удостоверений

Да

Нет

Да

Нет

Обновление протоколов

Да

Нет

Да

Нет

Обновление сопоставлений

Да

Нет

Да

Нет

Удаление поставщиков удостоверений

Да

Нет

Да

Нет

Удаление протоколов

Да

Нет

Да

Нет

Удаление сопоставлений

Да

Нет

Да

Нет

Запрос квот

Да

Нет

Да

Нет

Примечание

Tenant Guest и Tenant Administrator являются основными ролями, предоставляемыми IAM, и не содержат каких-либо конкретных разрешений. Поэтому эти две роли не перечислены в таблице.

Запустили Evolution free tier
для Dev & Test
Получить