云应用引擎 CAE-权限管理:CAE权限

时间：2024-03-26 14:56:05

云应用引擎 CAE

CAE权限

默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

CAE部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华东-上海一）对应的项目（cn-east-3）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CAE时，需要先切换至授权区域。

权限根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

如表1所示，包括了CAE的所有系统权限。

表1 CAE系统权限说明
系统角色/策略名称	描述	类别	依赖系统权限	CAE依赖服务应用场景
CAE FullAccess	云应用引擎所有权限。	系统策略	需要配合以下权限共同使用： OBS Administrator AOM FullAccess SWR Admin BSS Finance VPC ReadOnlyAccess ServiceStage ReadOnlyAccess ELB FullAccess	拥有操作CAE的所有权限。
CAE ReadOnlyAccess	云应用引擎只读权限。	系统策略	需要配合以下权限共同使用 ServiceStage ReadOnlyAccess LTS ReadOnlyAccess obs:bucket:GetBucketLocation obs:bucket:GetBucketStorage obs:bucket:GetBucketStoragePolicy	拥有对CAE资源的只读权限。
OBS Administrator	对象存储服务管理员。	系统策略	无	选择OBS的软件包部署组件、云存储授权解绑。
AOM FullAccess	应用运维管理服务所有权限。	系统策略	无	CAE创建环境。
SWR Admin	容器镜像服务管理员，拥有该服务下的所有权限。	系统角色	无	进行组件相关操作，包括组件的创建、部署、升级、回退。
DNS Administrator	云解析服务管理员，拥有该服务下的所有权限。	系统角色	VPC Administrator Tenant Guest	查询和配置公网域名需要该权限，授权该角色后可以删除其依赖的VPC Administrator、Tenant Guest角色，不影响域名配置功能。
BSS Finance	费用中心财务管理员，拥有财务操作相关的所有权限。	系统角色	无	购买套餐包，进行支付时需要该权限。
KMS CMKFullAccess	密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统角色	无	CAE环境变量引用凭据时需要获取您在凭据管理服务凭据信息的访问权限。
CSMS ReadonlyAccess	数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。	系统角色	无	CAE凭据配置需要获取您在凭据管理服务凭据信息的访问权限。

如果表1所列的这些权限不满足实际需求，您可以参考表2在这个基础上自定义策略。

表2 CAE常用操作与系统权限之间的关系
操作	CAE ReadOnlyAccess	CAE FullAccess
购买套餐包	x	√
创建环境	x	√
查询所有环境	√	√
查询环境信息	√	√
删除环境	x	√
创建应用	x	√
查询应用信息	√	√
查询所有应用信息	√	√
更新应用信息	x	√
删除应用	x	√
创建组件	x	√
查询组件信息	√	√
查询组件配置	√	√
查询组件事件	√	√
查询所有组件和实例	√	√
查看使用量数据	√	√
修改组件配置	x	√
组件操作：伸缩，升级，回退，停止，启动，重启，编辑	x	√
删除组件	x	√
一键部署Demo	x	√
开启证书配置	x	√
查看证书配置	√	√
修改证书配置	x	√
关闭证书配置	x	√
域名配置	x	√
查看域名	√	√
取消域名配置	x	√
云储存授权	x	√
解绑云存储	x	√
远程登录	x	√

使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云应用引擎的细粒度权限进行授权操作。细粒度权限依赖说明请参见表3。

表3 云应用引擎细粒度权限依赖说明
权限名称	权限描述	依赖权限	应用场景
cae:environment:create	创建环境	vpc:vpcs:get vpc:vpcs:list vpc:vpcs:create vpc:subnets:get vpc:subnets:create vpc:ports:get vpc:ports:create OBS Administrator AOM FullAccess BSS Finance SWR Admin	创建环境购买套餐包开启证书配置修改证书配置域名配置云存储授权
cae:environment:list	查询所有环境	obs:bucket:GetBucketLocation obs:bucket:GetBucketStorage obs:bucket:GetBucketStoragePolicy	查询环境系统设置查看云存储授权
cae:environment:get	查询环境信息	无	查看证书配置查看域名
cae:environment:delete	删除环境	vpc:ports:delete OBS Administrator	删除环境关闭证书配置取消域名配置解绑云存储
cae:application:create	创建应用	rds:instance:list rds:databaseUser:list rds:database:list cse:engine:get cse:engine:list lts:groups:create lts:topics:create lts::list lts::get OBS Administrator SWR Admin	创建应用创建组件修改组件配置一键部署Demo
cae:application:get	查询应用信息	rds:instance:list rds:databaseUser:list rds:database:list cse:engine:get cse:engine:list	查看应用信息查看组件信息查看组件配置
cae:application:list	查询所有应用信息	无	查看所有应用信息查看使用量数据查看所有组件和实例查看组件事件
cae:application:modify	更新应用信息	OBS Administrator SWR Admin	组件操作：伸缩升级回退停止启动重启编辑
cae:application:delete	删除应用	lts:groups:delete lts:topics:delete OBS Administrator	删除应用删除组件删除组件配置
cae:application:createConsole	远程登录	cae:application:delete cae:application:modify cae:application:get	远程登录