企业路由器 ER-权限及授权项说明
权限及授权项说明
如果您要允许或是禁止某个接口的操作权限,请使用策略。
如果您需要对您所拥有的企业路由器ER进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为帐号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用ER服务的其它功能。
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托)对华为云资源的访问范围。权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
目前IAM支持两类授权模型,一类是经典授权(RBAC)模型,称为角色授权。
默认情况下,新建的主体没有任何权限,需要为主体授予系统角色、系统策略或自定义策略,并选择授权范围,才能使主体获得相应的权限。
另一类是基于ABAC的新模型,称为策略授权。管理员可根据业务需求定制不同的访问控制策略,将策略附加主体或为主体授予该策略即可获得相应权限,能够做到更细粒度更灵活的权限控制。授权后,主体就可以基于已有权限对云服务进行操作。
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
---|---|---|---|---|
角色授权 |
用户-角色-权限 |
|
为主体授予角色或策略 |
每个用户可以根据被分配的角色相对快速的被授予相关权限,但灵活性较差,难以满足细粒度精确权限控制需求,更适用于对维护角色和授权关系工作量较小的中小企业用户。 |
策略授权 |
用户-策略 |
|
|
新增资源时,对比角色授权需要维护所有相关角色,基于策略的授权模型仅需要维护较少的资源,可扩展性更强,更方便。但相对应的,整体模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建华北-北京四区域的ER和华南-广州区域的ER的权限,基于角色授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于策略授权的场景中,管理员仅需要创建一个自定义策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将策略附加主体或为主体授予该策略即可获得相应权限,权限配置方式更细粒度更灵活。
ER目前仅支持角色授权模型,该场景下支持的策略授权项请参考基于角色授权的服务授权项。
例如,用户要调用接口来查询企业路由器列表,那么这个IAM用户被授予的策略中必须包含允许“er:instances:list”的授权项,该接口才能调用成功。
- API网关权限管理_授权使用API网关_APIG权限策略和授权项
- 将VPC对等连接迁移至企业路由器ER_企业路由器ER使用指导_企业路由器产品功能
- GaussDB数据库授权_GaussDB授权说明_高斯数据库授权-华为云
- 通过企业路由器实现同区域VPC隔离_企业路由器ER操作指导_华为云企业路由器ER
- 企业路由器ER是什么意思_ER的功能_如何使用企业路由器ER
- 通过企业路由器构建DC/VPN双链路主备混合云组网_企业路由器工作原理_如何使用ER
- 如何创建用户并授权使用应用运维管理服务_AOM_用户权限_创建用户_权限
- 权限管理能力_怎么设置权限_云容器引擎
- 企业路由器ER有什么用_ER应用场景有哪些_华为云企业路由器
- GaussDB权限管理_GaussDB数据库权限管理_高斯数据库权限管理_华为云