分配委托权限(被委托方操作)
B公司为专业的代运维公司,当其他公司(例如A公司)与B公司创建了委托关系,即B公司为被委托方。B公司希望将其他公司委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托以及委托的细粒度授权。
企业需求
- B公司希望将其他公司委托的资源分配给公司中员工(IAM用户),让员工帮助管理委托的资源。
- 如果一个公司与B公司创建了多个委托关系,B公司希望这些委托分配给不同的员工,让员工仅能管理一个特定的委托。
解决方案
针对以上企业需求,可以使用IAM的用户授权功能,实现给员工分配委托以及委托的细粒度授权。
- B账号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用户,员工使用这个用户帮助B账号管理委托。
- B账号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,并将这个细粒度策略授予用户,使得用户仅能管理一个特定的委托。
操作流程
以B账号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。
- 创建用户组并授权。
- B账号在统一身份认证服务左侧导航窗格中,单击“用户组”。
- 在“用户组”界面中,单击“创建用户组”。
- 输入“用户组名称”,例如“委托管理”。
- 单击“确定”。
返回用户组列表,用户组列表中显示新创建的用户组。
- 单击新建用户组右侧的“授权”,进入授权界面。
- 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。
- 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步。
- 在选择策略页面,单击权限列表右上角“新建策略”。
- 输入“策略名称”,例如“管理A公司的委托1”。
- “策略配置方式”选择“JSON视图”。
- 在“策略内容”区域,填入以下内容:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
"b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。
- 单击“下一步”,继续完成授权。
- 选择上一步中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。
- 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
- “Agent Operator”权限:用户可以管理所有委托。
- 选择授权作用范围。
- 单击“确定”。
- 创建用户并加入用户组。
- 在统一身份认证服务左侧导航窗格中,单击“用户”
- 在“用户”界面,单击“创建用户”。
- 在“创建用户”界面,输入“用户名”“邮箱”。
- “访问方式”选择“管理控制台访问”。
- “凭证类型”选择“首次登录时设置”。
- “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。
- 在“加入用户组”页面,选择步骤2中创建的用户组“委托管理”,单击“创建用户”。
- 切换角色。