统一身份认证服务 IAM统一身份认证服务 IAM

文档首页> 统一身份认证服务 IAM> 最佳实践> 多运维人员权限设置案例
更新时间:2021/09/06 GMT+08:00
分享

多运维人员权限设置案例

A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。

图1 权限设置模型
  • 负责管理公司所有资源的团队。
  • 负责管理公司财务的团队。
  • 负责查看并监控所有资源使用情况的团队。
  • 负责计算域运维的团队。
  • 负责网络域运维的团队。
  • 负责数据库运维的团队。
  • 负责安全域运维的团队。

通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限

表1 系统权限

职能团队

需要授予的策略

权限说明

资源总运维

Tenant Administrator

除IAM外,其他所有云资源的所有执行权限,包括费用中心、资源中心、帐号中心的权限,可以购买资源,管理续费,查看账单等。

财务管理

BSS Administrator

费用中心、资源中心、帐号中心的所有执行权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。仅拥有该权限的用户不能购买资源,用户如果购买资源需要拥有对应资源的管理员权限。

查看资源

Tenant Guest

除IAM、费用中心外,其他所有资源的只读权限。

计算域运维

ECS FullAccess

弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

CCE FullAccess

云容器引擎(CCE)的所有执行权限,包括购买CCE的权限,仅拥有该权限的用户不能查看CCE以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

AutoScaling FullAccess

弹性伸缩(AS)的所有执行权限,包括购买AS的权限,仅拥有该权限的用户不能查看AS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

网络域运维

VPC FullAccess

虚拟私有云(VPC)的所有执行权限,包括购买VPC的权限,仅拥有该权限的用户不能查看VPC以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

ELB FullAccess

弹性负载均衡(ELB)的所有执行权限,包括购买ELB的权限,仅拥有该权限的用户不能查看ELB以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

数据库运维

RDS FullAccess

云数据库(RDS)的所有执行权限,包括购买RDS的权限,仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

DDS FullAccess

文档数据库服务(DDS)的所有执行权限,包括购买DDS的权限,仅拥有该权限的用户不能查看DDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

DDM FullAccess

分布式数据库中间件的所有执行权限。

安全领域运维

Anti-DDoS Administrator

Anti-DDoS流量清洗服务的所有执行权限。

CAD Administrator

DDoS高防服务的所有执行权限。

KMS Administrator

数据加密服务(DEW)的所有执行权限,包括购买DEW的权限,仅拥有该权限的用户不能查看DEW以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。

多运维人员权限配置示例

IAM通过用户组功能实现用户的授权,以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,帮助您了解多权限配置流程。如果需要将员工配置为其他运维负责人,请参考表1,为相关负责人授予相应的系统权限。

步骤1:创建用户组并授权

  1. A公司登录并进入华为云控制台。
  2. 控制台页面中单击右上角的用户名,选择“统一身份认证”。
  3. 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。

  4. 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。

  5. 单击新建用户组右侧的“权限配置”。

  6. 在“授权记录”页签,单击列表左上方的“授权”。

  7. 作用范围选择“区域级项目”,并在下拉框中选择“华东-上海二”区域。
  8. 在搜索框中搜索“VPC FullAccess”和“ELB FullAccess”,勾选后单击“确定”,完成用户组授权。

    • 如果员工还需要查看资源的消费情况,请在同区域选择“BSS Administrator”权限。
    • 如果您参考表1,将员工配置为安全域运维负责人,由于安全域与其他服务存在业务交互关系,授权时,必须同时添加依赖的其他服务的权限,方法请参见:依赖授权

步骤2:创建IAM用户

  1. 在统一身份认证服务,左侧导航中,单击“用户”>“创建用户”。
  2. 配置基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。

    图2 配置用户信息
    • 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
    • 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
    表2 用户信息

    用户信息

    说明

    用户名

    必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。

    邮件地址

    “访问方式”选择“首次登录时设置”时必填,选择其他时选填。IAM用户绑定的邮件地址,可作为子账户的登录凭证,也可由IAM用户自己绑定。

    手机号

    选填。IAM用户绑定的手机号,可作为子账户的登录凭证,也可由IAM用户自己绑定。

    描述

    选填。记录IAM用户相关信息。

    图3 配置访问方式
    • 编程访问:为IAM用户启用访问密钥密码,支持用户通过API、CLI、SDK等开发工具访问华为云服务。
    • 管理控制台访问:为IAM用户启用密码,支持用户登录华为云管理控制台访问云服务。
      • 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码
      • 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问密钥
      • 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码
      • 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
      表3 配置凭证类型和登录保护

      凭证类型与登录保护

      说明

      访问密钥

      创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)

      一个用户最多拥有两个访问密钥。

      密码

      自定义

      自定义用户密码,并选择用户首次登录时是否需要重置密码。

      如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。

      自动生成

      系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。

      仅在创建单个用户时适用。

      首次登录时设置

      系统通过邮件发一次性登陆链接给用户,用户登录控制台并设置密码。

      如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。

      登录保护

      开启登录保护(推荐)

      开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高帐号安全性。

      您可以选择通过手机、邮箱、虚拟MFA进行登录验证。

      不开启

      创建完成后,如需开启登录保护,请参见:登录保护

  3. 单击“下一步”,将用户加入到用户组(可选)。

    • 将用户加入用户组,用户将具备用户组的权限,这一过程即给用户授权。
    • 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可选),创建成功后即可将用户加入到新创建的用户组中。
    • 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
    • 一个用户可以同时加入多个用户组。

  4. 单击“下一步”,IAM用户创建完成,用户列表中显示新创建的IAM用户。如果2勾选了“编程访问”,可在此页面下载访问密钥。

    图4 创建成功

步骤3:IAM用户登录并验证权限

IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云

  1. 在华为云登录页面,单击右下角的“IAM用户登录”。
  2. 在“IAM用户登录”页面,使用新创建的用户登录,输入帐号名、用户名及用户密码。

    • 帐号名为该IAM用户所属华为云帐号的名称。
    • 用户名和密码为帐号在IAM创建用户时输入的用户名和密码。

  3. 登录成功后,进入华为云控制台,请先切换至授权区域“华东-上海二”。

  4. 在“服务列表”中选择虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,可以进入这些服务的主页面并进行管理操作,权限配置成功。
  5. 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成功。
  6. 切换区域至除“华东-上海二”的任一区域,无法进入任何服务主页面,包括虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,表示权限配置成功。
分享:

    相关文档

    相关产品