tocdepth

2

Пользовательские разрешения IMS

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.

Разрешения IMS

По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики или роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными сервисами на основе разрешений.

Есть два типа предоставления разрешений:

• На основе ролей. Предоставляется только ограниченное количество ролей для авторизации. При использовании ролей для предоставления разрешений необходимо также назначить другие роли, от которых зависит действие разрешений.

  Системные роли IMS

  Роль	Описание	Роль зависит от
  Администратор IMS	Разрешения администратора IMS	Роли администратора тенанта (Tenant Administrator)
  Администратор сервера	Разрешения на создание, удаление, запрос, изменение и загрузку образов	Роли администратора IMS в том же проекте

• На основе политик (рекомендуется). Определяют разрешения, необходимые для выполнения операций с облачными ресурсами. Подробнее в разделе Политики разрешений и поддерживаемые операции.

  Системные политики IMS

  Политика	Описание	Зависимость
  IMS FullAccess	Все разрешения IMS	Нет
  Администратор сервера	Разрешение Read-only для IMS. Пользователи, которым предоставлены эти разрешения, могут только просматривать данные IMS.	Нет

  Общие операции и необходимые системные разрешения

  Действие	IMS FullAccess	IMS ReadOnlyAccess	IMS Administrator (Зависит от администратора тенанта)
  Создание образа	Да	Нет	Да
  Удаление образа	Да	Нет	Да
  Запрос образа	Да	Да	Да
  Обновление информации об образе	Да	Нет	Да

Создание пользователя и предоставление разрешений

В этом пункте описывается, как использовать IAM для управления разрешениями для ресурсов IMS. С помощью IAM можно:

• Создавать IAM-пользователей на основе вашей организационной структуры. Каждый IAM-пользователь имеет собственные учетные записи, обеспечивающие доступ к ресурсам IMS.

• Предоставлять пользователям только необходимые разрешения.

• Делегировать разрешения для эффективного управления ресурсами IMS.

Ниже в качестве примера используется разрешение ReadOnlyAccess.

1. Создайте группу пользователей и предоставьте ей разрешения только на чтение — ReadOnlyAccess.

2. Создайте IAM-пользователя и добавьте его в группу пользователей.

3. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru

   • как IAM-пользователь

4. Чтобы открыть список сервисов, нажмите Service List.

5. В списке сервисов выберите Image Management Service.

6. В консоли IMS выполните операции, такие как создание, изменение и удаление образа. Если разрешений недостаточно, значит ReadOnlyAccess вступило в силу.

Создание собственной политики

Собственные политики могут быть созданы в дополнение к системным разрешениям IMS. Подробнее в разделе Политики разрешений и поддерживаемые операции.

Политики можно создать с помощью:

• визуального редактора;

• JSON.

Подробнее в разделе Создание политики для группы пользователей.

Ниже приведены примеры общих настраиваемых политик IMS:

1. Разрешение пользователям создавать образы.

   {
       "Version": "1.1",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ims:serverImages:create",
                   "obs:bucket:*",
                   "obs:object:*",
                   "kms:*:*",
                   "ecs:cloudServers:get",
                   "ecs:servers:get",
                   "ecs:serverVolumes:use",
                   "ecs:cloudServers:list",
                   "ecs:serverVolumeAttachments:list",
                   "ecs:servers:list",
                   "evs:volumes:*",
                   "bms:servers:list",
                   "bms:servers:get",
                   "bms:serverFlavors:get"
               ]
           }
       ]
   }
   

   Примечание

   Для создания образа требуется действие ims:serverImages:create. Остальные являются зависимыми.

2. Запрет на удаление образов. Пользователю предоставлена политика FullAccess. Сначала создайте собственную политику для запрета на удаление образов и назначьте обе политики группе, в которой состоит пользователь. Затем пользователь может выполнять все операции с IMS, кроме удаления образов.

   {
       "Version": "1.1",
       "Statement": [
           {
               "Effect": "Deny",
               "Action": [
                   "ims:images:delete"
               ]
           }
       ]
   }
   

Была ли статья полезной?

Да Нет

Предыдущая статья

Сравнение бэкапов, снапшотов и образов

Следующая статья

Вопросы и ответы

Запустили Evolution free tier
для Dev & Test

Получить