Управление разрешениями

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные разрешения на управление доступом к определенным типам ресурсов.

Разрешения IMS

По умолчанию у новых IAM-пользователей нет разрешений на работу с сервисом. Необходимо добавить пользователя в одну или несколько групп и назначить политики или роли для этих групп. Затем пользователь получает разрешения от групп, в которых он состоит. Этот процесс называется авторизацией. После авторизации пользователь может выполнять операции с облачными сервисами на основе разрешений.

Есть два типа предоставления разрешений на основе:

  • ролей. Предоставляется только ограниченное количество ролей для авторизации. При использовании ролей для предоставления разрешений необходимо также назначить другие роли, от которых зависит действие разрешений.

    Системные роли IMS

    Роль

    Описание

    Роль зависит от

    Администратор IMS

    Разрешения администратора IMS

    Роли администратора тенанта (Tenant Administrator)

    Администратор сервера

    Разрешения на создание, удаление, запрос, изменение и загрузку образов

    Роли администратора IMS в том же проекте

Системные политики IMS

Политика

Описание

Зависимость

IMS FullAccess

Все разрешения IMS

Нет

Администратор сервера

Разрешение Read-only для IMS. Пользователи, которым предоставлены эти разрешения, могут только просматривать данные IMS.

Нет

Общие операции и необходимые системные разрешения

Действие

IMS FullAccess

IMS ReadOnlyAccess

IMS Administrator (Зависит от администратора тенанта)

Создание образа

Да

Нет

Да

Удаление образа

Да

Нет

Да

Запрос образа

Да

Да

Да

Обновление информации об образе

Да

Нет

Да

Создание пользователя и предоставление разрешений

В этом пункте описывается, как использовать IAM для управления разрешениями для ресурсов IMS. С помощью IAM можно:

  • Создавать IAM-пользователей на основе вашей организационной структуры. Каждый IAM-пользователь имеет собственные учетные записи, обеспечивающие доступ к ресурсам IMS.

  • Предоставлять пользователям только необходимые разрешения.

  • Делегировать разрешения для эффективного управления ресурсами IMS.

Ниже в качестве примера используется разрешение ReadOnlyAccess.

  1. Создайте группу пользователей и предоставьте ей разрешения только на чтение — ReadOnlyAccess.

  2. Создайте IAM-пользователя и добавьте его в группу пользователей.

  3. Войдите в консоль управления Advanced:

  4. Чтобы открыть список сервисов, нажмите Service List.

  5. Выберите Computing → Image Management Service.

  6. В консоли IMS выполните операции, такие как создание, изменение и удаление образа. Если разрешений недостаточно, значит ReadOnlyAccess вступило в силу.

Создание собственной политики

Собственные политики могут быть созданы в дополнение к системным разрешениям IMS. Подробнее в разделе Политики разрешений и поддерживаемые операции.

Политики можно создать с помощью:

  • визуального редактора;

  • JSON.

Подробнее в разделе Создание политики для группы пользователей.

Ниже приведены примеры общих настраиваемых политик IMS:

  1. Разрешение пользователям создавать образы.

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ims:serverImages:create",
                    "obs:bucket:*",
                    "obs:object:*",
                    "kms:*:*",
                    "ecs:cloudServers:get",
                    "ecs:servers:get",
                    "ecs:serverVolumes:use",
                    "ecs:cloudServers:list",
                    "ecs:serverVolumeAttachments:list",
                    "ecs:servers:list",
                    "evs:volumes:*",
                    "bms:servers:list",
                    "bms:servers:get",
                    "bms:serverFlavors:get"
                ]
            }
        ]
    }
    

    Примечание

    Для создания образа требуется действие ims:serverImages:create. Остальные являются зависимыми.

  2. Запрет на удаление образов. Пользователю предоставлена политика FullAccess. Сначала создайте собственную политику для запрета на удаление образов и назначьте обе политики группе, в которой состоит пользователь. Затем пользователь может выполнять все операции с IMS, кроме удаления образов.

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ims:images:delete"
            ]
        }
    ]
}
Масштабная конференция
GoCloud 2024:
облачные грани будущего