С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.
По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики или роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными сервисами на основе разрешений.
Есть два типа предоставления разрешений:
На основе ролей. Предоставляется только ограниченное количество ролей для авторизации. При использовании ролей для предоставления разрешений необходимо также назначить другие роли, от которых зависит действие разрешений.
Роль | Описание | Роль зависит от |
|---|---|---|
Администратор IMS | Разрешения администратора IMS | Роли администратора тенанта (Tenant Administrator) |
Администратор сервера | Разрешения на создание, удаление, запрос, изменение и загрузку образов | Роли администратора IMS в том же проекте |
На основе политик (рекомендуется). Определяют разрешения, необходимые для выполнения операций с облачными ресурсами. Подробнее в разделе Политики разрешений и поддерживаемые операции.
Политика | Описание | Зависимость |
|---|---|---|
IMS FullAccess | Все разрешения IMS | Нет |
Администратор сервера | Разрешение Read-only для IMS. Пользователи, которым предоставлены эти разрешения, могут только просматривать данные IMS. | Нет |
Действие | IMS FullAccess | IMS ReadOnlyAccess | IMS Administrator (Зависит от администратора тенанта) |
|---|---|---|---|
Создание образа | Да | Нет | Да |
Удаление образа | Да | Нет | Да |
Запрос образа | Да | Да | Да |
Обновление информации об образе | Да | Нет | Да |
В этом пункте описывается, как использовать IAM для управления разрешениями для ресурсов IMS. С помощью IAM можно:
Создавать IAM-пользователей на основе вашей организационной структуры. Каждый IAM-пользователь имеет собственные учетные записи, обеспечивающие доступ к ресурсам IMS.
Предоставлять пользователям только необходимые разрешения.
Делегировать разрешения для эффективного управления ресурсами IMS.
Ниже в качестве примера используется разрешение ReadOnlyAccess.
Создайте группу пользователей и предоставьте ей разрешения только на чтение — ReadOnlyAccess.
Войдите в консоль управления Advanced:
В списке сервисов выберите Image Management Service.
В консоли IMS выполните операции, такие как создание, изменение и удаление образа. Если разрешений недостаточно, значит ReadOnlyAccess вступило в силу.
Собственные политики могут быть созданы в дополнение к системным разрешениям IMS. Подробнее в разделе Политики разрешений и поддерживаемые операции.
Политики можно создать с помощью:
визуального редактора;
JSON.
Ниже приведены примеры общих настраиваемых политик IMS:
Разрешение пользователям создавать образы.
{"Version": "1.1","Statement": [{"Effect": "Allow","Action": ["ims:serverImages:create","obs:bucket:*","obs:object:*","kms:*:*","ecs:cloudServers:get","ecs:servers:get","ecs:serverVolumes:use","ecs:cloudServers:list","ecs:serverVolumeAttachments:list","ecs:servers:list","evs:volumes:*","bms:servers:list","bms:servers:get","bms:serverFlavors:get"]}]}
Для создания образа требуется действие ims:serverImages:create. Остальные являются зависимыми.
Запрет на удаление образов. Пользователю предоставлена политика FullAccess. Сначала создайте собственную политику для запрета на удаление образов и назначьте обе политики группе, в которой состоит пользователь. Затем пользователь может выполнять все операции с IMS, кроме удаления образов.
{"Version": "1.1","Statement": [{"Effect": "Deny","Action": ["ims:images:delete"]}]}