步骤五:授予权限(操作主体:子账号)
表2中的用户组有不同的权限级别,权限级别为账号的用户组,如计算管理组、存储管理组、网络管理组等,其权限在IAM中授予。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,其权限在企业项目中授予。
以集团公司的部门A为例,使用部门A的子账号登录华为云,进入IAM控制台,为计算管理组、存储管理组、网络管理组、安全管理组、数据库管理组、中间件管理组、大数据及AI管理组、财务管理组、统一运维组授予表2所推荐的权限。在IAM控制台进行授权时需要选择合适的作用范围:全局服务或者区域级项目,前者适用于全局级云服务,如OBS、TMS、CDN、SCM等云服务,后者适用于按区域部署的云服务,如ECS、RDS等。例如,为安全管理组授予SCM FullAccess权限时需要将作用范围选为全局服务;为数据库管理组授予RDS FullAccess权限时需要将作用范围选为区域级项目并选择具体的区域,按照最小授权原则,尽量不要选择“所有项目”,而是选择要管理的RDS资源所在的区域项目。
上述区域级项目是指IAM项目,默认情况下一个区域对应一个IAM项目。
然后进入企业项目控制台,为企业项目“A1生产”关联用户组“应用管理组for A1”并授权;为企业项目“A1开发”关联用户组“应用开发组 for A1”并授权。授权操作在IAM控制台基于企业项目进行授权,通过这种权限设置方式,用户组“应用管理组for A1”的成员(该成员没有加入其他用户组)只能访问企业项目“A1生产”内的云资源,同理,用户组“应用开发组 for A1”的成员(该成员没有加入其他用户组)只能访问企业项目“A1开发”内的云资源。部门A下面其他企业项目的用户组关联企业项目以此类推。
应用开发组、应用测试组和项目管理组的成员在为企业项目创建云资源时,可能会用到放置到default项目的共享云资源,例如创建一个ECS云主机时会用到default项目中的VPC、共享带宽等。因此需要在default项目中为这些用户组授予共享云资源的ReadOnly权限。
admin用户组是系统默认生成的,拥有账号下的所有操作权限,无需手动设置该用户组的权限。
图1所示的用户组划分方式将统一管控的范围限制在了部门级(对应子账号),无法做到公司级(对应主账号)的统一管控。如果大公司仍然希望在公司级进行统一资源管控,也可以考虑在公司级(主账号)下创建统一管控资源的用户组,然后在各个子账号下分别创建“普通账号”的委托类型,将子账号下面的资源管理权限委托给主账号,主账号再将这些委托权限分配给统一管控资源的用户组。
涉及到的操作如下:
- 创建用户组并授权:您可以通过统一身份认证服务(IAM)来创建用户组并授权。管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。
- 为企业项目关联用户组并授权:在IAM控制台将用户组与企业项目关联,并为其设置一定的权限策略,该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限。
- 为企业项目关联用户并授权:在IAM控制台将用户添加至企业项目中,并为其设置一定的权限策略,该用户即可拥有策略定义的对该企业项目中资源的使用权限。
