多用户访问控制

    目前支持的产品线

    IAM 作为百度智能云的身份和访问控制服务,提供了集中管理云平台产品服务权限的功能,相应云服务都需要接入IAM,从而实现产品内的权限管控。本文档将详细介绍已经接入IAM服务的云产品,其支持的权限颗粒度、相关使用文档等。IAM目前主要为云产品线提供2种主要类型的服务:

    • 多用户访问控制(IAM),主要解决主子用户的身份、授权、鉴权等问题;
    • 临时身份凭证(STS),IAM 为产品或服务提供的临时身份管理服务。

    平台模块权限

    平台策略主要描述的百度智能云平台通用服务模块的策略,包含但不限于系统层级的管理员、运维、只读,财务、工单、证书管理等服务模块,平台策略属于IAM的系统策略。

    权限名称 策略说明 相关文档
    系统管理员权限 拥有管理所有百度智能云资源的权限 -
    系统运维权限 包括接入鉴权运维类的所有产品线 -
    系统只读权限 包括接入鉴权只读类的所有产品线 -
    财务权限 拥有查看、支付、取消订单的权限 -
    证书管理 支持证书只读、运维权限 证书管理
    工单权限 创建、查看、回复、删除工单的权限 -
    IAM系统管理员(IAMFullControlAccessPolicy) 拥有管理多用户访问控制的权限 -
    IAM只读权限(IAMReadAccessPolicy) 拥有只读多用户访问控制的权限,包含访问报告的下载权限 -
    AK管理权限(IAMManageAccessKeyPolicy) 增删管理子用户自身AccessKey的权限,创建子用户时,如勾选了使用编程方式访问,则默认授予该子用户当前权限 -
    云审计管理权限 拥有管理云审计记录、下载审计日志、管理跟踪等所有权限 -
    云审计只读权限 拥有管理云审计记录、下载审计日志、查看跟踪等只读权限 -

    已接入IAM的产品服务说明

    本节将描述已接入IAM和STS的产品服务,如下表格种字段的意义说明如下:

    • 产品名称:百度智能云产品服务的中文+英文简称;
    • 权限粒度:包含服务级和资源级,服务级表示将云产品作为一个整体授权,资源级表示可以精确授权到一个云产品下的实例,比如某台BCC服务器;
    • 系统支持操作权限:服务级权限粒度下,云产品所支持的系统策略;
    • 临时身份凭证(STS): “ ✅”表示支持,“-”表示不支持;
    • 标签授权: 可以根据所选标签,筛选所需要授权的权限和资源,“ ✅”表示支持,“-”表示不支持;
    • 相关文档:有链接表示当前产品已关联了相应权限说明文档,“-”表示暂无。

    计算

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 标签授权 相关文档
    云服务器 BCC 资源级 只读、运维、管理权限 BCC
    专属服务器 DCC 资源级 只读、运维、管理权限 -
    物理服务器 BBC 资源级 支持只读、运维权限 - -
    容器引擎 CCE 资源级 开发、运维、管理权限 - CCE
    应用引擎专业版 BAEPRO 资源级 - - BAEPRO
    函数计算 CFC 服务级 只读、管理权限 - - -

    网络

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    弹性公网IP EIP 资源级 只读、运维、管理权限 EIP
    共享带宽 EIPGROUP 资源级 只读、运维、管理权限 - EIPGROUP
    EIP带宽包 EIP_BP 服务级 只读、运维、管理权限 - - EIP_BP
    负载均衡 BLB 资源级 只读、运维、管理权限 BLB
    私有网络 VPC 资源级 只读、运维、管理权限 NETWORK
    子网 subnet 资源级 只读、运维、管理权限 - subnet
    安全组securityGroup 资源级 只读、运维、管理权限 安全组
    访问控制列表 ACL 资源级 只读、运维权限 - ACL
    路由表Route 资源级 只读、运维权限 - 路由表
    专线网关 资源级 只读、运维、管理权限 - 专线网关
    VPN 网关 资源级 只读、运维、管理权限 - VPN网关
    NAT网关 资源级 只读、运维、管理权限 - NAT网关
    IPv6 公网网关 资源级 只读、运维、管理权限 - - IPv6
    对等连接 PEERCONN 资源级 只读、运维、管理权限 - 对等连接
    专线ET 服务级 只读、运维、管理权限 - - 专线ET

    安全和管理

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    流量审计 IDS 资源级 只读、运维权限 - - -
    应用防火墙 WAF 资源级 只读、运维权限 - -
    主机安全客户端 HOSTEYE 资源级 只读、运维、管理权限 - - -
    百度智能变更 BID 服务级 管理权限 -
    DDoS高防服务 ADAS 服务级 只读、运维、管理权限 - -
    业务安全风控 AFD 资源级 管理权限 - - AFD
    安全检测服务 SRD 资源级 只读、运维、管理权限 - SRD
    云审计 BCT 服务级 只读、管理权限 - - -

    存储和CDN

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    对象存储 BOS 资源级 只读、管理权限 BOS
    云磁盘 CDS 资源级 只读、运维、管理权限 -
    内容分发网络 CDN 资源级 只读、运维、管理权限 CDN
    文件存储 CFS 资源级 只读、运维、管理权限 - - CFS
    百度表格服务 BTS 资源级 只读、运维权限 - - BTS
    边缘计算节点 BEC 服务级 只读、运维、管理权限 - - -

    数据分析

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    百度MapReduce BMR 资源级 - - BMR
    百度Elasticsearch BES 资源级 只读、运维、管理权限 - BES
    百度消息服务 BMS 资源级 只读、运维、管理权限 - - BMS
    百度数据工厂 PINGO 资源级 - - - PINGO
    百度日志服务 BLS 资源级 只读、运维、管理权限 - - BLS

    数据库

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    关系型数据库 RDS 资源级 只读、运维、管理权限 RDS
    简单缓存服务 SCS 资源级 只读、运维、管理权限 SCS
    文档数据库 MongoDB 资源级 只读、运维、管理权限 - - MongoDB

    智能多媒体服务

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    音视频直播 LSS 服务级 只读、管理权限 - -
    音视频点播 VOD 服务级 管理权限 - -
    音视频转码 MCT 服务级 管理、只读权限 - -
    视频内容审核 VCR 服务级 只读、管理权限 - -

    物联网服务

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    云秘智能客服 CVCA 资源级 - - - -
    物接入 IoT Hub 资源级 - - IOT
    时序数据库 TSDB 资源级 - - TSDB
    规则引擎 Rule Engine 资源级 - - - Rule Engine

    网站服务

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    云主机管家服务 HME 服务级 支持只读、管理权限 - - -
    智能流量管理 ITM 服务级 支持只读、管理权限 - - ITM
    域名服务 BCD 服务级 支持只读、运维、管理权限 - -

    应用服务

    产品名称 权限粒度 系统支持操作权限 临时身份凭证(STS) 基于标签授权 相关文档
    简单消息服务 SMS 服务级 支持只读、管理权限 - -
    上一篇
    企业组织vs多用户访问控制
    下一篇
    系统限制