基本信息
CAM中产品名 | CAM中简称 | 控制台访问 | 按标签授权 | 授权粒度 | IP限制 |
---|---|---|---|---|---|
安全凭证服务 | sts | 支持 | 不支持 | 资源级 | 不支持 |
说明:云产品的授权粒度按照粒度粗细分为服务级、操作级和资源级三个级别。
- 服务级:定义对服务的整体是否拥有访问权限,分为允许对服务拥有全部操作权限或者拒绝对服务拥有全部操作权限。服务级授权粒度的云产品,不支持对具体的接口进行授权。
- 操作级:定义对服务的特定接口(API)是否拥有访问权限,例如:授权某账号对云服务器服务进行只读操作。
- 资源级:定义对特定资源是否有访问权限,这是最细的授权粒度,例如:授权某账号仅读写操作某台云服务器实例。能支持资源级接口授权的产品,则会被认定为资源级授权粒度。
接口授权粒度
接口授权粒度分为资源级和操作级两个级别:
- 资源级接口:此类型接口支持对某一个具体特定的资源进行授权。
- 操作级接口:此类型接口不支持对某一个特定的资源进行授权。授权时策略语法若限定了具体的资源,CAM会判断此接口不在授权范围,判断为无权限。
写操作
接口名 | 接口描述 | 授权粒度 | 资源六段式 | IP限制 |
---|---|---|---|---|
AssumeRole | 申请角色临时证书 | 资源级 | qcs::cam::uin/${uin}:roleName/${roleName} | 不支持 |
AssumeRoleWithSAML | 申请SAML联合身份临时证书 | 操作级 | * | 不支持 |
AssumeRoleWithWebIdentity | 申请OIDC联合身份临时证书 | 操作级 | * | 不支持 |