权限策略管理
# 基本概念
# 权限
权限用于描述某个具体资源和功能模块的的访问能力,其包含一组对资源的操作。
# 权限策略
权限策略是一组权限的集合,包含被授权的资源、操作以及条件。
目前以下两种权限策略:
- 系统权限策略:由 LStack 提供的权限策略,用户只能使用不能修改。
- 自定义权限策略:由用户自主创建、更新和删除的权限策略,其基于 LStack 提供的系统权限进行组合。
# 权限策略结构
权限策略是一个 JSON 字符串由 effect 和 action 构成。例如:
[
{
"effect": "Allow",
"action": ["CPC:FullAccess"]
}
]
其中包含两部分内容:
effect:效力。效力分别为 Deny 和 Allow,分别代表拒绝和允许对某种资源的操作。在实际操作中 Deny 效力大于 Allow 效力。
action:对资源的操作。action 是一个资源操作的集合。每个 action 个体由“资源:操作”组成。
目前提供的操作有:
操作名称 说明 FullAccess 全部控制权限。即包含对某类资源的读、写权限 ReadOnly 只读权限。即仅包含对某类资源的读权限 目前提供的资源如下:
资源 说明 * 全部资源 CPC 云服务商目录服务的资源 CPM 云服务商监控的资源。其中分别包含:
CPMOM:云服务商监控的资源
CPMLog:云服务商日志的资源IAM 访问控制、用户管理等的资源 CSM 云服务监控的资源。其中分别包含:
CSMOM:云服务监控的资源
CSMLog:云服务日志的资源
CSMAlert:云服务告警的资源LCR 容器镜像服务的资源 LCS 容器服务的资源 AHS 应用管理服务的资源 CNOPS 云原生 CNOps 服务的资源 UC 费用中心服务的资源 CA 云运营服务的资源
# 系统权限策略
系统权限策略是由 LStack 内置的权限策略,用于控制 LStack 各个服务的访问与操作,由 LStack 维护更新。以下是目前 LStack 提供的系统权限:
| 权限名 | 权限描述 |
|---|---|
| LstackIAMFullAccess | IAM 管理权限 |
| LstackIAMReadOnlyAccess | IAM 只读权限 |
| LstackIAMUseAccess | IAM 使用权限 |
| LstackCPCFullAccess | CPC 管理权限 |
| LstackCPCReadOnlyAccess | CPC 只读权限 |
| LstackCPCUseAccess | CPC 使用权限 |
| LstackLCRFullAccess | LCR 管理权限 |
| LstackLCRLimitedAccess | 管理部分容器镜像服务(LCR)的权限 |
| LstackLCRReadOnlyAccess | LCR 只读权限 |
| LstackLCSFullAccess | LCS 管理权限 |
| LstackLCSUseAccess | LCS 使用权限 |
| LstackLCSsReadOnlyAccess | LCS 只读权限 |
| LstackCNOPSFullAccess | CNOPS 管理权限 |
| LstackCNOPSUseAccess | CNOPS 使用权限 |
| LstackCNOPSReadOnly | CNOPS 只读权限 |
| LstackCSMLOGFullAccess | CSM 日志管理管理权限 |
| LstackCSMLOGUseAccess | CSM 日志管理使用权限 |
| LstackCSMLOGReadOnly | CSM 日志管理只读权限 |
| LstackCSMOMFullAccess | CSM 监控管理权限 |
| LstackCSMOMUseAccess | CSM 监控使用权限 |
| LstackCSMOMReadOnly | CSM 监控只读权限 |
| LstackCSMAlertFullaccess | CSM 告警管理权限 |
| LstackCSMAlertUseAccess | CSM 告警使用权限 |
| LstackCSMAlertReadOnly | CSM 告警只读权限 |
| LstackCSMViewFullAccess | CSM 视图管理权限 |
| LstackCPMLOGFullAccess | CPM 日志管理管理权限 |
| LstackCPMLOGUseAccess | CPM 日志管理使用权限 |
| LstackCPMLOGReadOnly | CPM 日志管理只读权限 |
| LstackCPMOMFullAccess | CPM 监控管理权限 |
| LstackCPMOMUseAccess | CPM 监控使用权限 |
| LstackCPMOMReadOnly | CPM 监控只读权限 |
| LstackCPMAlertFullaccess | CPM 告警管理权限 |
| LstackCPMAlertUseAccess | CPM 告警使用权限 |
| LstackCPMAlertReadOnly | CPM 告警只读权限 |
| LstackCPMViewFullAccess | CPM 视图管理权限 |
| LstackAHSFullAccess | 应用托管服务管理权限 |
| LstackAHSReadOnlyAccess | 应用托管服务只读权限 |
| LstackAHSProjectFullAccess | 应用托管服务项目管理权限 |
| LstackUCFullAccess | 费用中心管理权限 |
| LstackUCReadOnlyAccess | 费用中心只读权限 |
| LstackUCUseAccess | 费用中心使用权限 |
| LstackCAFullAccess | 云运营管理权限 |
| LstackCAReadOnlyAccess | 云运营只读权限 |
| LstackCAUseAccess | 云运营使用权限 |
# 操作流程
# 查看权限策略列表
下面为您介绍如何查看权限策略的基本信息,包括权限策略的名称、备注、策略类型和被引用次数等。
登录 LStack 控制台。
在页面右上角点击账号名,在下拉框中选择访问控制,进入访问控制页面。
在左侧导航栏的权限管理菜单下,单击权限策略管理。
策略类型选择系统策略或自定义策略。
在搜索框中,输入权限策略名称,点击搜索。
# 查看权限策略详细信息
您可以通过权限策略详细信息查看基本信息,管理版本,查看授权记录及新增授权。
登录 LStack 控制台。
在页面右上角点击账号名,在下拉框中选择访问控制,进入访问控制页面。
在左侧导航栏的权限管理菜单下,单击权限策略管理。
选择想要查看的策略。
点击权限策略名称。
# 创建自定义策略
登录 LStack 控制台。
在页面右上角点击账号名,在下拉框中选择访问控制,进入访问控制页面。
在左侧导航栏的权限管理菜单下,单击权限策略管理。
点击创建自定义策略。
权限策略中提供两种方式创建授权语句.
方式一:添加授权语句-可视化
方式二:添加授权语句-脚本
# 修改自定义策略
登录 LStack 控制台。
在页面右上角点击账号名,在下拉框中选择访问控制,进入访问控制页面。
在左侧导航栏的权限管理菜单下,单击权限策略管理。
选择自定义策略,点击权限策略名称,进入修改页面。
通过脚本修改策略内容。
# 查看及设置策略版本
登录 LStack 控制台。
在页面右上角点击账号名,在下拉框中选择访问控制,进入访问控制页面。
在左侧导航栏的权限管理菜单下,单击权限策略管理。
选择自定义策略,点击权限策略名称,进入修改页面。
通过脚本修改策略内容。
修改成功后点击版本管理,进行版本的查看及管理。