- 最新动态
- 功能总览
-
用户指南
-
企业中心
- 企业中心概述
- 开通企业中心
- 进入企业中心
- 组织管理
- 财务管理
- 使用限制说明
- 策略和授权项说明
- 审计
- 关闭企业中心
- 附录(待下线)
-
常见问题
-
公共
- 不同关联模式下,企业主子账号财务管理方案有哪些差异?
- 企业主子账号关联模式,在企业子账号创建后还能变更吗?
- IAM用户和企业子账号的区别
- IAM用户无法查看“组织与账号”的内容了该怎么办?
- 客户申请开通企业主账号有哪些限制条件?
- 企业主账号邀请关联账号有哪些限制条件?
- 企业主账号与企业子账号解除关联关系有哪些限制条件?
- 如何查看企业子账号的关联时间?
- 子账号未完善账号类型和企业名称,企业主账号不允许关联该子账号,怎么办?
- 子账号的账号类型为个人账号,企业主账号不允许关联该子账号,怎么办?
- 企业主账号创建企业子账号用在什么场景?创建的企业子账号实名信息是什么?
- 新建企业子账号会继承主账号的哪些信息?
- 如何删除企业子账号?
- 如何提升关联企业子账号数量上限?
- 信用额度还款优先级说明
- 企业主账号登录(包含IAM子用户登录和其他账号委托登录)华为云后,无权限查看或操作子账号信息怎么办?
- 财务托管
-
财务独立
- 不同企业(单位名称不同的母、子、分公司)如何申请企业管理账号?
- 控股/参股/被母公司实际控制的子公司怎样申请复用母公司的商务优惠?
- 为什么我公司子账号的商务没有享受到母公司主账号同等商务优惠?
- 企业客户主账号可以给企业子账号拨款吗?
- 我公司主账号为何不能给子账号拨款代金券?
- 企业客户主账号可以给企业子账号拨款信用额度吗?
- 企业主账号可以回收企业子账号的代金券吗?
- 企业客户主账号给子账号拨款,子账号消费后,这部分金额由谁开票?
- 企业主账号和子账号为不同法人,企业主账号能代子账号开发票吗?
- 企业主账号代企业子账号开发票,开的是谁的抬头?
- 企业账号(包含主账号和子账号)的开票抬头有何限制要求?
- 同一个企业账号能基于不同的企业项目开不同抬头的发票吗?
- 集团公司客户(企业主账号)下属多个控股子公司(企业子账号),是否可以共享商务折扣及授信?需要满足什么要求?
- 集团公司客户(企业主账号)下属多个控股子公司(企业子账号),是否可以独立开具发票?
- 企业主账号的IAM用户无法查看企业子账号信息?
- 企业主账号能看到企业子账号的资源吗?能管理和使用企业子账号的资源吗?
- 企业子账号如已继承企业主账号的商务优惠,当企业主账号原商务失效并重新获得后,企业子账号需要重新申请继承商务吗?
- 什么是“同一法人”?
- 什么是“不同法人”?
-
公共
- 项目管理
-
企业中心
- 最佳实践
- API参考
- SDK参考
- 视频帮助
- 文档下载
- 通用参考
展开导读
链接复制成功!
步骤五:授予权限(操作主体:子账号)
表2中的用户组有不同的权限级别,权限级别为账号的用户组,如计算管理组、存储管理组、网络管理组等,其权限在IAM中授予。权限级别为企业项目的用户组,如应用开发组、应用测试组、应用管理组和项目管理组,其权限在企业项目中授予。
以集团公司的部门A为例,使用部门A的子账号登录华为云,进入IAM控制台,为计算管理组、存储管理组、网络管理组、安全管理组、数据库管理组、中间件管理组、大数据及AI管理组、财务管理组、统一运维组授予表2所推荐的权限。在IAM控制台进行授权时需要选择合适的作用范围:全局服务或者区域级项目,前者适用于全局级云服务,如OBS、TMS、CDN、SCM等云服务,后者适用于按区域部署的云服务,如ECS、RDS等。例如,为安全管理组授予SCM FullAccess权限时需要将作用范围选为全局服务;为数据库管理组授予RDS FullAccess权限时需要将作用范围选为区域级项目并选择具体的区域,按照最小授权原则,尽量不要选择“所有项目”,而是选择要管理的RDS资源所在的区域项目。
上述区域级项目是指IAM项目,默认情况下一个区域对应一个IAM项目。
然后进入企业项目控制台,为企业项目“A1生产”添加用户组“应用管理组for A1”并授予相应权限;为企业项目“A1开发”添加用户组“应用开发组 for A1”并授予相应权限。通过这种权限设置方式,用户组“应用管理组for A1”的成员(该成员没有加入其他用户组)只能访问企业项目“A1生产”内的云资源,同理,用户组“应用开发组 for A1”的成员(该成员没有加入其他用户组)只能访问企业项目“A1开发”内的云资源。部门A下面其他企业项目的用户组授权以此类推。
应用开发组、应用测试组和项目管理组的成员在为企业项目创建云资源时,可能会用到放置到default项目的共享云资源,例如创建一个ECS云主机时会用到default项目中的VPC、共享带宽等。因此需要在default项目中为这些用户组授予共享云资源的ReadOnly权限。
admin用户组是系统默认生成的,拥有账号下的所有操作权限,无需手动设置该用户组的权限。
图1所示的用户组划分方式将统一管控的范围限制在了部门级(对应子账号),无法做到公司级(对应主账号)的统一管控。如果大公司仍然希望在公司级进行统一资源管控,也可以考虑在公司级(主账号)下创建统一管控资源的用户组,然后在各个子账号下分别创建“普通账号”的委托类型,将子账号下面的资源管理权限委托给主账号,主账号再将这些委托权限分配给统一管控资源的用户组。
涉及到的操作如下:
- 创建用户组并授权:您可以通过统一身份认证服务(IAM)来创建用户组并授权。管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。
- 为企业项目关联用户组并授权:将用户组与企业项目关联,并为其设置一定的权限策略,该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限。
- 为企业项目关联用户并授权:将用户与企业项目关联,并为其设置一定的权限策略,该用户即可拥有策略定义的对该企业项目中资源的使用权限。