屏蔽子账户读取密钥的权限,实现密钥保护
当您使用多账号管理CAE环境时,可以根据企业的业务组织,在您的华为云云服务账号中,给企业中不同职能部门的员工创建子账号,并根据职能设置不同的访问权限,以达到用户之间的权限隔离。
例如:分别为开发及测试创建开发账号与测试账号,测试人员无需感知敏感信息,为保护敏感信息,您可以屏蔽测试账号获取敏感信息的权限。
本最佳实践指导您通过屏蔽子账号DEW服务的所有权限以及CAE远程登录的权限,来控制子用户读取密钥。
创建自定义策略
- 登录“统一认证服务”控制台。
- 在左侧导航栏中选择“权限管理 > 权限”。
- 单击“创建自定义策略”,进入“创建自定义策略”页面。
图1 进入统一认证服务页面
- 配置自定义策略。
- 策略名称:填写cae-subuser。
- 策略内容:选择“拒绝”。
- 服务:选择“云应用引擎”。
- 操作:勾选“cae:application:createConsole”权限。
图2 创建自定义策略
- 单击“确定”,完成自定义策略创建。
创建用户组并授权
- 在左侧导航栏中选择“用户组”,单击“创建用户组”。
图3 创建用户组
- 输入“用户组名称”,例如cae-test,单击“确定”,完成用户组创建。
- 在用户组列表中单击创建完成的用户组名称“cae-test”,进入用户组概览页面。
- 在“授权记录”页签中单击“授权”,选择创建自定义策略中创建的自定义策略。
图4 授权自定义策略
- 单击“下一步”,选择授权范围方案为“所有资源”。
- 单击“确定”,完成授权。
待授权完成后,单击“完成”,返回用户组概览页面。图5 完成用户组授权
- 单击“用户管理”,进入“用户组管理”页面。
- 在用户列表中勾选需要控制权限的子用户,单击“确定”。
图6 配置用户管理