托管策略集¶
DotID 提供 托管策略集 —— 预定义的、由平台提供的策略集合,具有固定的名称。用户无法修改或删除它们。
托管策略集提供通用的权限组合,可以附加到 IAM 用户和组,类似于 AWS 托管策略。
命名规范¶
{Service}FullAccess—— 命名空间内的所有操作(例如IAMFullAccess){Service}ReadOnlyAccess—— 仅读取和列举操作AdministratorAccess—— 全局通配符(所有操作、所有资源)
托管策略集名称为保留名称。自定义策略集不得使用这些名称。
权限集¶
权限集是一个或多个托管 IAM 策略的集合。权限集通过账户分配分配给 IDC 用户,定义用户在给定账户中可以执行的操作。
平台核心权限集¶
权限集 |
包含的 IAM 策略 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
服务注册的权限集¶
Registered by consumer services at startup.
权限集 |
服务 |
包含的 IAM 策略 |
|---|---|---|
|
TrustMint |
|
|
TrustMint |
|
|
Bazaar |
|
|
Bazaar |
|
托管 SCP 模板¶
平台托管的 SCP 模板由服务注册,存储时 organization_id = NULL。当平台运维人员批准合作伙伴注册请求时,这些模板将被附加到合作伙伴账户(参见 User Stories — FlexGalaxy.AI Frontend Applications US-DL-4、US-BP-4)。
SCP 模板 |
服务 |
允许的操作 |
|---|---|---|
|
TrustMint |
|
|
TrustMint |
|
|
Bazaar |
|
|
Bazaar |
|
托管 IAM 策略¶
对所有操作和资源的完全访问权限。
使用场景: 管理账户根用户、平台超级管理员。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "AdministratorAccess",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}]
}
对 IAM 操作的完全访问权限:用户、组、策略、凭证、权限边界和资源策略。
使用场景: 在其账户内管理 IAM 资源的账户管理员。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "IAMFullAccess",
"Effect": "Allow",
"Action": "iam:*",
"Resource": "*"
}]
}
对 IAM 资源的只读访问权限。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "IAMReadOnlyAccess",
"Effect": "Allow",
"Action": [
"iam:User:Read", "iam:User:List",
"iam:Group:Read", "iam:Group:List",
"iam:Policy:Read", "iam:Policy:List",
"iam:InlinePolicy:Read", "iam:InlinePolicy:List",
"iam:ResourcePolicy:Read", "iam:ResourcePolicy:List",
"iam:PermissionBoundary:Read",
"iam:Credentials:Read"
],
"Resource": "*"
}]
}
对组织管理的完全访问权限:组织生命周期、OU 和成员账户。
使用场景: 管理组织结构的管理账户根用户。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "OrganizationFullAccess",
"Effect": "Allow",
"Action": "org:*",
"Resource": "*"
}]
}
对组织结构的只读访问权限。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "OrganizationReadOnlyAccess",
"Effect": "Allow",
"Action": [
"org:Organization:Read",
"org:OU:Read", "org:OU:List",
"org:Account:Read", "org:Account:List"
],
"Resource": "*"
}]
}
对服务控制策略管理的完全访问权限。
使用场景: 定义安全护栏的管理账户根用户。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "SCPFullAccess",
"Effect": "Allow",
"Action": "scp:*",
"Resource": "*"
}]
}
对审计事件的只读访问权限。
使用场景: 用于组织范围合规可见性的委托管理员。audit 命名空间是 可委托的。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "AuditReadOnlyAccess",
"Effect": "Allow",
"Action": [
"audit:Event:Read",
"audit:Event:List",
"audit:Event:Export"
],
"Resource": "*"
}]
}
对服务配额操作的完全访问权限。
使用场景: 跨组织管理配额的委托管理员。quota 命名空间是 可委托的。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "QuotaCenterFullAccess",
"Effect": "Allow",
"Action": "quota:*",
"Resource": "*"
}]
}
对服务配额和增加请求的只读访问权限。
{
"Version": "2024-01-01",
"Statement": [{
"Sid": "QuotaCenterReadOnlyAccess",
"Effect": "Allow",
"Action": [
"quota:Quota:Read", "quota:Quota:List",
"quota:Request:Read", "quota:Request:List"
],
"Resource": "*"
}]
}
服务注册的托管策略¶
The following policies are registered at service startup.
NovaBell(通知): NotificationsFullAccess``(``notifications:*)、``NotificationsReadOnlyAccess``(读取/列出/统计)。
TrustMint(许可): LicensingFullAccess``(``licensing:*)、``LicensingReadOnlyAccess``(读取/列出)、``LicensingApprovalAccess``(审批管理)、``LicensingEndUserAccess``(设备/许可读取 + 请求)。
Bazaar(市场): MarketplaceFullAccess``(``marketplace:*)、``MarketplaceDeveloperAccess``(产品 CRUD)、``MarketplaceReadOnlyAccess``(只读浏览)、``MarketplaceAdminAccess``(产品管理 + 管理员操作)。
总结¶
策略 / 权限集 |
范围 |
描述 |
|---|---|---|
|
|
所有操作、所有资源 |
|
只读 |
所有命名空间的所有读取/列举操作 |
|
|
所有 IAM 操作 |
|
|
所有组织操作 |
|
|
所有 SCP 操作 |
|
|
审计事件只读访问(可委托) |
|
|
所有配额操作(可委托) |
|
|
配额只读访问 |
|
|
所有通知操作 |
|
|
通知只读访问 |
|
跨服务 |
许可终端用户 + 市场开发者(Dev2M/OTAForge) |
|
|
设备注册和许可请求(TrustMint) |
|
|
许可管理员的审批读写(TrustMint) |
|
|
市场开发者的产品 CRUD(Bazaar) |
|
|
产品浏览和获取(Bazaar) |