Управление разрешениями

С помощью сервиса Identity and Access Management можно создавать IAM-пользователей и предоставлять им различные права доступа. Например, некоторым менеджерам в вашей организации нужно просматривать ресурсы EVS, но им нельзя удалять или изменять параметры. В этом случае можно создать IAM-пользователей для менеджеров и предоставить им разрешение только на просмотр ресурсов EVS.

Разрешения EVS

По умолчанию у новых IAM-пользователей нет разрешений на выполнение операций с сервисом EVS. Необходимо добавить пользователя в одну или несколько групп и назначить политики и роли для этих групп. Затем пользователь получит права доступа от групп, в которых он состоит, и сможет выполнять операции с облачными ресурсами на основе этих разрешений.

Есть два типа предоставления разрешений:

  • Роли. Метод авторизации, который определяет разрешения, связанные с зоной ответственности пользователя. Этот метод предоставляет только ограниченное количество service-level ролей для авторизации. При использовании ролей для предоставления разрешений необходимо также назначить другие роли, от которых зависит действие разрешений. Однако роли не являются идеальным выбором для детальной (fine-grained) авторизации и безопасного управления доступом.

  • Политики. Метод авторизации, который определяет разрешения, необходимые для выполнения операций с облачными ресурсами при определенных условиях. Этот метод обеспечивает более гибкую авторизацию на основе политик, отвечающую требованиям безопасного управления доступом. Например, можно предоставить пользователям только права на управление определенным типом виртуальной машины ECS. Большинство политик определяют разрешения с помощью API. Подробнее в разделе Политики разрешений и поддерживаемые операции.

Системные роли и политики, поддерживаемые EVS

Название роли/политики

Описание

Тип

Зависимости

EVS FullAccess

Полные права на использование сервиса EVS. Пользователи могут создавать, монтировать, просматривать и удалять ресурсы EVS, а также увеличивать емкость дисков EVS.

System-defined политика

Нет

EVS ReadOnlyAccess

Право только на чтение. Пользователи могут просматривать только данные ресурсов EVS.

System-defined политика

Нет

Server Administrator

Полные права на использование сервиса EVS.

Системная роль

Нет
Общие операции, поддерживаемые каждой system-defined политикой или ролью EVS

Операция

EVS FullAccess

EVS ReadOnlyAccess

Создание дисков

Просмотр списка дисков

Просмотр информации о диске

Подключение дисков

Открепление дисков

Удаление дисков

Увеличение емкости дисков

Создание снапшота

Удаление снапшота

Откат данных снапшота

Создание диска из снапшота

Добавление тега для дисков

Изменение тегов

Удаление тегов

Поиск диска по тегу

Создание пользователя и предоставление разрешений

В этом пункте описывается, как использовать IAM для управления разрешениями. С помощью IAM можно:

  • Создавать IAM-пользователей на основе вашей организационной структуры. Каждый IAM-пользователь имеет собственные учетные записи, обеспечивающие доступ к ресурсам EVS.

  • Предоставлять пользователям только необходимые разрешения.

  • Делегировать разрешения для эффективного управления ресурсами EVS.

Ниже в качестве примера используется политика ReadOnlyAccess.

  1. Создайте группу пользователей и предоставьте ей разрешения только на чтение — EVS ReadOnlyAccess.

  2. Создайте IAM-пользователя и добавьте его в группу пользователей.

  3. Войдите в консоль как IAM-пользователь и проверьте право на просмотр ресурсов.

    В списке Service List выберите Elastic Volume Service. В консоли EVS попробуйте создать диск. Отображается сообщение о том, что недостаточно прав на выполнение операции, значит политика ReadOnlyAccess вступила в силу.

Создание собственной политики

Собственные политики можно создать в дополнение к системным разрешениям EVS. Подробнее в разделе Политики разрешений и поддерживаемые операции.

Политики можно создать с помощью:

  • визуального редактора;

  • JSON.

Подробнее в разделе Создание политики для группы пользователей.

Ниже приведены примеры общих настраиваемых политик EVS:

  1. Разрешение пользователям создавать диски.

    {
        "Version": "1.1",
        "Statement": [
                {
                        "Action": [
                                "evs:volumes:list",
                                "evs:volumes:get",
                                "evs:quotas:get",
                                "evs:volumeTags:list",
                                "evs:types:get",
                                "evs:volumes:create",
                                "ecs:cloudServerFlavors:get",
                                "ecs:cloudServers:list",
                                "bss:balance:view",
                                "bss:order:pay",
                                "bss:order:update"
                        ],
                        "Effect": "Allow"
                }
        ]
}

  2. Запрет на удаление диска.

    {
        "Version": "1.1",
        "Statement": [
                {
                        "Effect": "Deny",
                        "Action": [
                                "evs:volumes:delete"
                        ]
                }
        ]
}