如果您需要对您所拥有的账号中心进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用账号中心服务的其他功能。
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
表1 两类授权的区别
名称
核心关系
涉及的权限
授权方式
适用场景
角色与策略授权
用户-权限-授权范围
系统角色
系统策略
自定义策略
为主体授予角色或策略
核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。
身份策略授权
用户-策略
系统身份策略
自定义身份策略
为主体授予身份策略
身份策略附加至主体
核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。
两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。