文档首页/ 统一身份认证服务 IAM/ 最佳实践/ 通过IAM对多运维人员进行权限设置
更新时间:2025-08-06 GMT+08:00
查看PDF
分享

通过IAM对多运维人员进行权限设置

方案概述

A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。

资源规划

根据A公司中员工所负责的不同职能,将员工划分为以下七个团队:

图1 权限设置模型
  • 资源总运维:负责管理公司所有资源的团队。
  • 财务管理:负责管理公司财务的团队。
  • 查看资源:负责查看并监控所有资源使用情况的团队。
  • 计算域运维:负责计算域运维的团队。
  • 网络域运维:负责网络域运维的团队。
  • 数据库运维:负责数据库运维的团队。
  • 安全域运维:负责安全域运维的团队。

通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限

表1 系统权限

职能团队

需要授予的策略

权限说明

资源总运维

Tenant Administrator

除IAM外,其他所有云资源的所有执行权限,包括费用中心、资源中心、账号中心的权限,可以购买资源,管理续费,查看账单等。

财务管理

BSS Administrator

费用中心、资源中心、账号中心的所有执行权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。仅拥有该权限的用户不能购买资源,用户如果购买资源需要拥有对应资源的管理员权限。

查看资源

Tenant Guest

除IAM外,其他所有资源的只读权限。

计算域运维

ECS FullAccess

弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

CCE FullAccess

云容器引擎(CCE)的所有执行权限,包括购买CCE的权限,仅拥有该权限的用户不能查看CCE以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

AutoScaling FullAccess

弹性伸缩(AS)的所有执行权限,包括购买AS的权限,仅拥有该权限的用户不能查看AS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

网络域运维

VPC FullAccess

虚拟私有云(VPC)的所有执行权限,包括购买VPC的权限,仅拥有该权限的用户不能查看VPC以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

ELB FullAccess

弹性负载均衡(ELB)的所有执行权限,包括购买ELB的权限,仅拥有该权限的用户不能查看ELB以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

数据库运维

RDS FullAccess

云数据库(RDS)的所有执行权限,包括购买RDS的权限,仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

DDS FullAccess

文档数据库服务(DDS)的所有执行权限,包括购买DDS的权限,仅拥有该权限的用户不能查看DDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

DDM FullAccess

分布式数据库中间件的所有执行权限。

安全领域运维

Anti-DDoS Administrator

Anti-DDoS流量清洗服务的所有执行权限。

CAD Administrator

DDoS高防服务的所有执行权限。

KMS Administrator

数据加密服务(DEW)的所有执行权限,包括购买DEW的权限,仅拥有该权限的用户不能查看DEW以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

根据以上职能团队的划分,资源规划情况包含以下内容:

表2 资源规划

资源

资源名称

资源说明

数量

管理员账号

Company-A

A公司用于管理资源和权限所创建的账号。

1

IAM用户组

网络域运维

A公司根据团队职能需要划分为七个用户组,此处仅以创建用户组“网络域运维”为例。

1

IAM用户

James、Alice

此处仅以创建IAM用户“James”和“Alice”为例。

2

权限

VPC FullAccess、ELB FullAccess

根据上表可知,需要为“网络域运维”用户组配置两个权限。

2

因为统一身份认证服务为免费服务,因此此最佳实践中不涉及费用。

操作流程

IAM通过用户组功能实现用户的授权。本文档以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,介绍如何通过IAM实现多运维人员权限设置需求,流程如图2所示。如果需要将员工配置为其他运维负责人,请参考表1,为相关负责人授予相应的系统权限。

图2 操作流程

步骤一:创建用户组并授权

  1. A公司管理员登录并进入华为云控制台。
  2. 在控制台页面中将鼠标移动至右上角的用户名,选择“统一身份认证”。
  3. 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。

    图3 创建用户组

  4. 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。

    用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。
    图4 输入名称

  5. 单击新建用户组右侧的“授权”。

    图5 授权

  6. 在搜索框中搜索“VPC FullAccess”和“ELB FullAccess”,勾选并单击“下一步”。

    图6 勾选权限

  7. 选择授权范围方案为“指定区域项目资源”,并选择“华东-上海二”区域。

    图7 选择权限生效的区域
    • 如果员工还需要查看资源的消费情况,请在同区域选择“BSS Administrator”权限。
    • 如果您参考表1,将员工配置为安全域运维负责人,由于安全域与其他服务存在业务交互关系,授权时,必须同时添加依赖的其他服务的权限,方法请参见:依赖授权

  8. 单击“确定”,完成对“网络域运维”用户组的授权。创建成功的用户组将会展示在用户组列表中。

    可以单击“网络域运维”用户组的名称,在“授权记录”页签下查看已授予的权限。

步骤二:创建IAM用户并加入用户组

  1. A公司管理员在统一身份认证服务,左侧导航中,选择“用户”。
  2. 在用户页面,单击右上角“创建用户”。

    图8 创建用户

  3. 配置用户基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。

    图9 配置用户信息
    • 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
    • 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
    表3 用户信息

    用户信息

    说明

    取值样例

    用户名

    必填。IAM用户登录华为云的用户名。

    James、Alice

    邮件地址

    “凭证类型”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮件地址可作为IAM用户的登录凭证,也可由IAM用户自己绑定。

    暂不配置

    手机号

    选填。IAM用户绑定的手机号,可作为IAM用户的登录凭证,也可由IAM用户自己绑定。

    暂不配置

    描述

    选填。记录IAM用户相关信息。

    暂不配置
    图10 配置访问方式
    表4 访问方式

    访问方式

    说明

    取值样例

    编程访问

    为IAM用户启用访问密钥密码,支持用户通过API、CLI、SDK等开发工具访问云服务。

    勾选

    管理控制台访问

    为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。

    勾选
    • 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码
    • 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥
    • 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码
    • 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
    表5 配置凭证类型和登录保护

    凭证类型与登录保护

    说明

    取值样例

    访问密钥

    访问密钥(AK/SK,Access Key ID/Secret Access Key)包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,是您在华为云的长期身份凭证,您可以通过访问密钥对华为云API的请求进行签名

    创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)

    不勾选

    密码

    自定义

    自定义用户密码,并选择用户首次登录时是否需要重置密码。

    如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。

    选择

    自动生成

    系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。

    仅在创建单个用户时适用。

    -

    首次登录时设置

    系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。

    如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接2天内有效。

    -

    登录保护

    开启登录保护

    开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证)。

    该功能是一种安全实践,您可以选择通过手机、邮件地址、虚拟MFA进行登录验证。

    -

    不开启

    创建完成后,如需开启登录保护,请参见:登录保护

    选择

  4. 单击“下一步”,将IAM用户James、Alice加入到上一步中创建的“网络域运维”用户组。

    • 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
    • 一个用户可以同时加入多个用户组。

  5. 单击“下一步”,IAM用户创建完成,用户列表中显示新创建的IAM用户James和Alice。如果3勾选了“凭证类型”中的“访问密钥”,可在此页面下载访问密钥。

    图11 创建成功

步骤3:IAM用户登录并验证权限

IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云

  1. IAM用户James或Alice在华为云登录页面,单击右下角的“IAM用户登录”。
  2. 在“IAM用户登录”页面,输入A公司账号名Company-A、IAM用户名及用户密码。

    • 账号名为该IAM用户所属华为云账号的名称。
    • 用户名和密码为账号在IAM创建用户时输入的用户名和密码。
    图12 IAM用户登录

  3. 登录成功后,IAM用户进入华为云控制台,请先切换至授权区域“华东-上海二”。

  4. 在“服务列表”中选择虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,可以进入这些服务的主页面并进行管理操作,权限配置成功。
  5. 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成功。
  6. 切换区域至除“华东-上海二”的任一区域,无法进入任何服务主页面,包括虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,表示权限配置成功。

相关文档