云堡垒机 CBH-基于IAM进行权限管理:身份策略权限管理

时间：2024-10-09 18:52:52

云堡垒机 CBH

身份策略权限管理

CBH服务支持身份策略授权。默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

CBH部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CBH时，需要先切换至授权区域。

如表1所示，包括了CBH的所有系统权限。角色与策略授权场景的系统策略与身份策略授权场景的并不互通。

表2 CBH系统权限
系统角色/策略名称	描述	类别	依赖关系
CBH FullAccess	云堡垒机实例的所有权限（支付权限除外）。	系统策略	无
CBH ReadOnlyAccess	云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。	系统策略	无

表3列出了CBH常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表3 常用操作与系统权限的关系
操作	CBH FullAccess	CBH ReadOnlyAccess
创建云堡垒机	√	x
变更云堡垒机规格（变更规格）	√	x
查询云堡垒机列表	√	√
升级云堡垒机软件版本	√	x
查询E CS 配额	√	x
绑定或解绑EIP	√	x
重启云堡垒机	√	x
启动云堡垒机	√	x
关闭云堡垒机	√	x
查看云堡垒机可用区	√	x
检测当前配置是否支持创建IPv6云堡垒机	√	x
检测云堡垒机与License中心之间网络是否连通	√	x
修改云堡垒机网络，确保与License中心网络连通	√	x