Identity and Access Management(IAM)是基于身份的权限控制,系统包含了不同产品模块的 IAM 预设策略。云堡垒机的用户授权提供 IAM 授权,在多用户协同管理资源的场景下,IAM 子用户操作云堡垒机资源时,需要授予相应的权限和策略。
说明
云堡垒机为子用户配置 IAM 权限的方法参见:配置 IAM 权限。
系统预设策略统一由火山引擎创建,只能使用不能修改,策略的版本更新由火山引擎维护,云堡垒机提供 5 种系统预设策略。
| 策略 | 人员类型 | 策略描述 |
|---|---|---|
VBHFullAccess | 管理员 | 云堡垒机控制台全读写权限,包含云堡垒机全读写权限和堡垒机依赖资源的 API 能力。集云堡垒机管理、运维、审计和依赖资源管理权限于一体。 |
| VBHInnerFullAccess | 管理员 | 云堡垒机全读写权限。拥有该策略的用户,不仅能够查看云堡垒机服务中的所有资源,还能够管理云堡垒机服务中的资源,包括:增删改。 |
| VBHReadOnlyAccess | 只读用户 | 云堡垒机只读权限。拥有该策略的用户,能够查看云堡垒机服务中的所有资源,但不能对资源进行管理。 |
| VBHAduitOnlyAccess | 审计人员 | 云堡垒机审计员权限。拥有该策略的用户,仅能够登录云堡垒机查看授权资源运维审计相关信息。 |
| VBHOperateOnlyAccess | 运维人员 | 云堡垒机运维员权限。拥有该策略的用户,仅能够登录云堡垒机对授权资源进行运维操作。 |
自定义策略是由用户创建的更精细化描述资源管理的权限集合,可以灵活满足用户的差异化权限管理需求,用户可自主创建、更新和删除策略,以及维护策略的版本。自定义策略通过 JSON 格式的 PolicyDocument 表达,由一系列 Statement 组成,Statement 由 Effect、Action、Resource 组成,详细写作语法参见:策略语法。
以下是云堡垒机中普通用户权限的策略示例,具体自定义策略可按需配置。
{ "Statement": [ { "Action": [ "vbh:*" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "ecs:DescribeZones" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "vpc:DescribeSecurityGroups", "vpc:DescribeSubnets", "vpc:DescribeVpcs", "vpc:InnerDescribeSecurityGroups" ], "Resource": [ "*" ], "Effect": "Allow" }, { "Action": [ "cloud_trail:LookupEvents" ], "Resource": [ "*" ], "Effect": "Allow" } ] }