弹性负载均衡 ELB-权限管理:ELB权限

时间：2024-10-28 10:53:22

弹性负载均衡 ELB

默认情况下，账号管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。

ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。

根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。
策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ELB服务，账号管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，ELB支持的API授权项请参见策略及授权项说明。

如表1所示，包括了ELB的所有系统权限。

表1 ELB系统权限
系统角色/策略名称	描述	类型
ELB FullAccess	操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。	系统策略
ELB ReadOnlyAccess	操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。	系统策略
ELB Administrator	操作权限：对弹性负载均衡服务的所有执行权限。拥有该权限的用户必须同时拥有Tenant Administrator、VPC Administrator、 CES Administrator、Server Administrator、Tenant Guest权限。作用范围：项目级服务。说明：如果账号已经申请开通细粒度权限，设置ELB系统权限时请配置细粒度策略，不要配置ELB Administrator策略。	系统角色

表2列出了ELB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。

表2 常用操作与系统策略的关系
操作	ELB FullAccess	ELB ReadOnlyAccess	ELB Administrator
创建负载均衡器	√	×	√
查询负载均衡器	√	√	√
查询负载均衡器状态树	√	√	√
查询负载均衡器列表	√	√	√
更新负载均衡器	√	×	√
删除负载均衡器	√	×	√
创建监听器	√	×	√
查询监听器	√	√	√
修改监听器	√	×	√
删除监听器	√	×	√
创建后端服务器组	√	×	√
查询后端服务器组	√	√	√
修改后端服务器组	√	×	√
删除后端服务器组	√	×	√
创建后端服务器	√	×	√
查询后端服务器	√	√	√
修改后端服务器	√	×	√
删除后端服务器	√	×	√
创建健康检查	√	×	√
查询健康检查	√	√	√
修改健康检查	√	×	√
关闭健康检查	√	×	√
创建弹性公网IP	×	×	√
绑定弹性公网IP	×	×	√
查询弹性公网IP	√	√	√
解绑弹性公网IP	×	×	√
查看监控指标	×	×	√
查看访问日志	×	×	√

创建负载均衡器时需注意以下事项：

创建包年/包月负载均衡器，还需要配置费用中心的BSS Administrator权限，具体详见《费用中心用户指南》。
创建公网弹性负载均衡器，还需要配置VPC服务的vpc:publicIps:create和vpc:publicIps:update细粒度权限，具体详见《弹性公网IP服务API参考》

解绑弹性公网IP，还需要配置VPC服务的vpc:bandwidths:update和vpc:publicIps:update细粒度权限，具体详见《虚拟私有云API参考》。
查看监控指标，还需要配置CES服务的CES ReadOnlyAccess权限，具体详见《云监控服务 API参考》。
查看访问日志，还需要配置LTS服务的LTS ReadOnlyAccess权限，具体详见《云日志服务API参考》。