访问管理实践
最近更新时间: 2024-06-12 15:06:00
访问管理概述
访问管理(Cloud Access Management,CAM)是云平台提供的一种身份验证和授权服务,主要用于帮助客户安全管理云平台账户下的资源的访问权限。在授予权限时,可以对授权的对象、资源、操作进行管理,并支持设置一些策略限制。
访问管理功能
根账号资源的授权
可以将根账号的资源授权给其他人员,包括子账号或者是其他根账号,而不需要分享根账号相关的身份凭证。
精细化的权限管理
可以针对不同的资源为不同的人员授予不同的访问权限。例如可以允许某些子账号拥有某个 COS 存储桶的读权限,而另外一些子账号或者根账号可以拥有某个 COS 存储对象的写权限等。上述资源、访问权限、用户都可以批量打包。
访问管理应用场景
企业子账号权限管理
企业内不同岗位的员工需要拥有该企业云资源的最小化访问权限。
场景:某个企业拥有很多云资源,包括 CVM 、 VPC 实例、 CDN 实例、 COS 存储桶和对象等。该企业拥有很多员工,包括开发人员、测试人员、运维人员等。 部分开发人员需要拥有其所在项目相关的开发机云资源的读写权限,测试人员需要拥有其所在项目的测试机云资源的读写权限,运维人员负责机器的购买和日常运营。当企业员工职责或参与项目发生变更,将终止对应的权限。
不同企业之间的权限管理
不同企业间需要进行云资源的共享。
场景:某企业拥有很多云资源,该企业希望能专注产品研发,而将云资源运维工作授权给其他运营企业来实施。当运营企业的合同终止时,将收回对应的管理权限。
访问管理策略语法
策略(policy)由若干元素构成,用来描述授权的具体信息。核心元素包括委托人(principal)、操作(action)、资源(resource)、生效条件(condition)以及效力(effect)。
策略语法说明
- 元素仅支持小写。它们在描述上没有顺序要求。
- 对于策略没有特定条件约束的情况, condition 元素是可选项。
- 在控制台中不允许写入 principal 元素,仅支持在策略管理 API 中和策略语法相关的参数中使用 principal 。
版本 version
描述策略语法版本。目前仅允许值为 2.0。该元素是必填项。
委托人 principal
用于描述策略授权的实体。包括用户(开发商、子账号、匿名用户)、用户组,仅支持在策略管理 API 中策略语法相关的参数中使用该元素。
语句 statement
用于描述一条或多条权限的详细信息。该元素包括 action 、 resource 、 condition 、 effect 等多个其他元素的权限或权限集合。一条策略有且仅有一个 statement 元素。该元素是必填项。
操作 action
用于描述允许或拒绝的操作。操作可以是 API (以 name 前缀描述)或者功能集(一组特定的 API ,以 permid 前缀描述)。该元素是必填项。
资源 resource
用于描述授权的具体数据。资源用六段式描述。每款产品的资源定义详情会有所区别。有关如何指定资源的信息,请参阅您编写的资源声明所对应的产品文档。该元素是必填项。
生效条件 condition
用于描述策略生效的约束条件。条件包括操作符、操作键和操作值组成。条件值可包括时间、 IP 地址等信息。有些服务允许您在条件中指定其他值。该元素是非必填项。
效力 effect
用于描述声明产生的结果,包括 allow(允许)和 deny(显式拒绝)两种情况。该元素是必填项。
策略限制
| 限制项 | 限制值 |
|---|---|
| 一个根账号中的用户组数 | 20 个 |
| 一个根账号中的子用户数 | 1000 个 |
| 一个子用户可加入的用户组的数量 | 10 个 |
| 一个用户组中的子用户数 | 100 个 |
| 一个根账号的策略数 | 1000 个 |
| 关联到一个 CAM 用户、用户组的策略数 | 20 个 |
| 自定义策略字符数 | 4096 字符 |