腾讯云访问管理访问策略和授权方法

腾讯云访问管理访问策略
策略管理中的一个重要概念是访问策略。访问策略是用访问策略语言所描述的一组权限,它可以精确地描述被授权的资源集、操作集以及授权条件。
 
在腾讯云访问管理中,访问策略是一种资源实体,用户可以创建、更新、删除和查看访问策略。腾讯云访问管理 允许在主账号或者子账号下创建并管理多个自定义访问策略,支持两种类型的访问策略:
 
系统访问策略是由腾讯云创建和管理的一组常用的权限集,主要针对不同服务类型的只读权限或完全操作权限,例如,对服务器的只读权限、对服务器完全操作权限等。对于腾讯云提供的这组访问策略,用户只能用于授权,而不能编辑和修改。对于这些系统访问策略,腾讯云会自动进行更新或修改。另外,系统访问策略中还有一个超级访问策略AdministratorAccess策略,获得该授权的子账号可以拥有等同于主账号的对所有资源的完全管理权限。

自定义访问策略由用户自己创建和管理,它是对系统访问策略的扩展和补充。系统访问策略所描述的权限粒度较粗,如果用户需要更精细的授权描述,例如精确控制对某个服务器实例的权限或添加授权条件限制,则需要用户创建自定义授权策略。创建自定义授权策略时,需要了解授权策略语言的基本结构和语法(请参考附录中的授权策略语言)。每个访问策略本质上是一组权限的集合。
说明: 当授权策略中同时包含(Allow)和拒绝(Deny)的授权语句时,遵循Deny优先的原则。
 
腾讯云访问管理授权方法
给腾讯云访问管理用户授权的方法是主账号或者有腾讯云访问管理操作权限的子账号为子账号(用户)或用户群组绑定一个或多个访问策略。绑定的访问策略可以是系统访问策略也可以是自定义访问策略。如果绑定的访问策略被更新,更新后的访问策略自动生效,无需重新绑定访问策略。
主帐号(资源拥有者)控制所有权限:每个资源有且仅有一个拥有者,属主必须是主账号,是对资源付费的人,对资源拥有完全控制权限。资源属主不一定是资源创建者。例如,一个腾讯云访问管理用户被授予创建资源的权限,该用户创建的资源归属于主帐号,该用户是资源创建者但不是资源拥有者。

腾讯云访问管理用户(操作员)默认无任何权限:腾讯云访问管理用户即为腾讯云访问管理子账号,其所有操作都需被显式授权,新建腾讯云访问管理用户默认没有任何操作权限,只有在被授权之后,才能通过控制台和API访问或操作资源。

资源创建者(腾讯云访问管理用户)不会自动拥有对所创建资源的任何权限:如果腾讯云访问管理用户被授予创建资源的权限,用户将可以创建资源,但不会自动拥有对所创建资源的任何权限,除非资源Owner对他有显式的授权。

标签