角色
最近更新时间: 2022-06-09 02:03:21
IAM 角色机制是向 IAM 用户(即组织用户)进行授权的一种安全方法。
# 基本概念
# 角色
IAM 角色是一系列权限策略的集合,用以控制 IAM 用户对资源的访问范围和能力。当 IAM 用户需要对相应资源访问或操作时,必须指定且只能指定一个角色。当某个 IAM 用户拥有某一角色时,该组织用户就拥有了该角色的权限。只有有了相应权限,IAM 用户才能够对资源进行相应的操作。
# 权限策略
权限策略是对一种或一些资源操作的集合,您可以指定允许对特定资源的操作,也可以拒绝。一个角色可以绑定一组权限策略,没有绑定权限策略的角色也可以存在,但不能访问任何资源。
# 角色类型
目前,IAM 角色有两种类型:系统角色和自定义角色。
# 系统角色
系统角色是 LStack 平台提供,系统角色的权限已经设置好,您可以将系统角色赋予给某类人员,但无法修改和删除系统角色。
目前提供的系统角色有三种,分别为:系统管理员、平台管理员和开发者,下面是三种角色的详细介绍:
| 角色名称 | 类型 | 描述 |
|---|---|---|
| 系统管理员 | 系统角色 | 系统管理员是系统角色中的最大权限角色,其能够访问和操作您账号下的所有资源, 包括但不限于访问控制的人员、运营的费用账单等。 |
| 平台管理员 | 系统角色 | 平台管理员拥有的权限仅次于系统管理员,其除了访问控制的人员、运营的费用账单等服务外, 其余服务均可访问可操作。平台管理员无法进行人员分配和费用操作等。 |
| 开发者 | 系统角色 | 开发者角色仅能够访问应用托管服务(AHS)和云原生 CNOps 。 |
# 自定义角色
自定义角色是用户自己定义的角色。如果系统角色无法满足您日常对 LStack 资源的管理需求,您可以通过自定义角色,并将权限赋予给自定义角色来更好的进行日常的工作。
提示:目前,自定义角色仅能被赋予系统策略。
# 使用方法
1、创建 IAM 用户,详情参见 创建 IAM 用户。
2、创建自定义角色,详情参见 创建自定义角色。
3、给角色添加 IAM 用户,详情参见 为角色添加组织成员。
