多运维人员权限设置案例
A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。
- 负责管理公司所有资源的团队。
- 负责管理公司财务的团队。
- 负责查看并监控所有资源使用情况的团队。
- 负责计算域运维的团队。
- 负责网络域运维的团队。
- 负责数据库运维的团队。
- 负责安全域运维的团队。
通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限。
职能团队 |
需要授予的策略 |
权限说明 |
---|---|---|
资源总运维 |
Tenant Administrator |
除IAM外,其他所有云资源的所有执行权限,包括费用中心、资源中心、账号中心的权限,可以购买资源,管理续费,查看账单等。 |
财务管理 |
BSS Administrator |
费用中心、资源中心、账号中心的所有执行权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。仅拥有该权限的用户不能购买资源,用户如果购买资源需要拥有对应资源的管理员权限。 |
查看资源 |
Tenant Guest |
除IAM外,其他所有资源的只读权限。 |
计算域运维 |
ECS FullAccess |
弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
CCE FullAccess |
云容器引擎(CCE)的所有执行权限,包括购买CCE的权限,仅拥有该权限的用户不能查看CCE以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
AutoScaling FullAccess |
弹性伸缩(AS)的所有执行权限,包括购买AS的权限,仅拥有该权限的用户不能查看AS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
网络域运维 |
VPC FullAccess |
虚拟私有云(VPC)的所有执行权限,包括购买VPC的权限,仅拥有该权限的用户不能查看VPC以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
ELB FullAccess |
弹性负载均衡(ELB)的所有执行权限,包括购买ELB的权限,仅拥有该权限的用户不能查看ELB以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
数据库运维 |
RDS FullAccess |
云数据库(RDS)的所有执行权限,包括购买RDS的权限,仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
DDS FullAccess |
文档数据库服务(DDS)的所有执行权限,包括购买DDS的权限,仅拥有该权限的用户不能查看DDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
DDM FullAccess |
分布式数据库中间件的所有执行权限。 |
|
安全领域运维 |
Anti-DDoS Administrator |
Anti-DDoS流量清洗服务的所有执行权限。 |
CAD Administrator |
DDoS高防服务的所有执行权限。 |
|
KMS Administrator |
数据加密服务(DEW)的所有执行权限,包括购买DEW的权限,仅拥有该权限的用户不能查看DEW以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
多运维人员权限配置示例
IAM通过用户组功能实现用户的授权,以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,帮助您了解多权限配置流程。如果需要将员工配置为其他运维负责人,请参考表1,为相关负责人授予相应的系统权限。
步骤1:创建用户组并授权
- A公司登录并进入华为云控制台。
- 控制台页面中单击右上角的用户名,选择“统一身份认证”。
- 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。
图2 创建用户组
- 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。
图3 输入名称
- 单击新建用户组右侧的“授权”。
图4 授权
- 在搜索框中搜索“VPC FullAccess”和“ELB FullAccess”,勾选并单击“下一步”。
- 选择授权范围方案为“区域项目”,并选择“华东-上海二”区域。
步骤2:创建IAM用户
- 在统一身份认证服务,左侧导航中,单击“用户”>“创建用户”。
- 配置基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
图5 配置用户信息
- 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
- 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
表2 用户信息 用户信息
说明
用户名
必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。
邮件地址
“访问方式”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮件地址,可作为子账户的登录凭证,也可由IAM用户自己绑定。
手机号
选填。IAM用户绑定的手机号,可作为子账户的登录凭证,也可由IAM用户自己绑定。
描述
选填。记录IAM用户相关信息。
图6 配置访问方式
- 编程访问:为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问华为云服务。
- 管理控制台访问:为IAM用户启用密码,支持用户登录华为云管理控制台访问云服务。
- 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。
- 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥。
- 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码。
- 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
表3 配置凭证类型和登录保护 凭证类型与登录保护
说明
访问密钥
创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)。
一个用户最多拥有两个访问密钥。
密码
自定义
自定义用户密码,并选择用户首次登录时是否需要重置密码。
如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。
自动生成
系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。
仅在创建单个用户时适用。
首次登录时设置
系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。
如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。
登录保护
开启登录保护(推荐)
开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高账号安全性。
您可以选择通过手机、邮箱、虚拟MFA进行登录验证。
不开启
创建完成后,如需开启登录保护,请参见:登录保护。
- 单击“下一步”,将用户加入到用户组(可选)。
- 将用户加入用户组,用户将具备用户组的权限。
- 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可选),创建成功后即可将用户加入到新创建的用户组中。
- 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
- 一个用户可以同时加入多个用户组。
- 单击“下一步”,IAM用户创建完成,用户列表中显示新创建的IAM用户。如果2勾选了“编程访问”,可在此页面下载访问密钥。
图7 创建成功
步骤3:IAM用户登录并验证权限
IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云。
- 在华为云登录页面,单击右下角的“IAM用户登录”。
- 在“IAM用户登录”页面,使用新创建的用户登录,输入账号名、用户名及用户密码。
图8 IAM用户登录
- 账号名为该IAM用户所属华为云账号的名称。
- 用户名和密码为账号在IAM创建用户时输入的用户名和密码。
- 登录成功后,进入华为云控制台,请先切换至授权区域“华东-上海二”。
- 在“服务列表”中选择虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,可以进入这些服务的主页面并进行管理操作,权限配置成功。
- 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成功。
- 切换区域至除“华东-上海二”的任一区域,无法进入任何服务主页面,包括虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,表示权限配置成功。