策略类型
更新时间:2019-07-15
IAM多用户访问控制加上企业组织可将策略类型分为2类。
基于身份的策略
即将包含权限说明的策略附加到IAM身份上,比如给子用户、用户组或是角色授予的策略,这一类型的策略进一步可以分为以下2种类型:
- 系统策略
系统策略为百度智能云预设策略,为用户常用权限集合,例如职能型的权限如系统管理员、财务人员,资源型的产品级的只读、运维权限等,通常系统策略权限颗粒度较粗,且不可被任何用户编辑和删除。 - 自定义策略
由管理员用户创建的策略统称为自定义策略。用户可以根据实际的业务需要,配置特定产品服务、资源的操作权限,例如,可针对云服务器BCC的某个实例设置一条策略,将该策略关联给子用户,使其拥有BCC某个实例的操作权限。相比系统策略,自定义策略可控制的权限颗粒度更细,其更为灵活。
自定义策略目前已支持同一条策略内配置多种服务权限、跨地域的资源实例,且支持无资源实例的操作权限,如创建/添加、页面/按钮的功能等。
服务控制策略
服务控制策略(SCP)属于IAM的扩展产品企业组织,它不直接控制用户的权限,而是用于控制其所附加的组织单元或是子账户的最大权限边界。有关企业组织和SCP的详细介绍,请参考企业组织。