文档首页> 统一身份认证服务 IAM> 最佳实践> 分配委托权限(被委托方操作)
更新时间:2021-10-09 GMT+08:00
分享

分配委托权限(被委托方操作)

B公司为专业的代运维公司,当其他公司(例如A公司)与B公司创建了委托关系,即B公司为被委托方。B公司希望将其他公司委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托以及委托的细粒度授权。

企业需求

  • B公司希望将其他公司委托的资源分配给公司中员工(IAM用户),让员工帮助管理委托的资源。
  • 如果一个公司与B公司创建了多个委托关系,B公司希望这些委托分配给不同的员工,让员工仅能管理一个特定的委托。

解决方案

针对以上企业需求,可以使用IAM的用户授权功能,实现给员工分配委托以及委托的细粒度授权。

  • B帐号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用户,员工使用这个用户帮助B帐号管理委托。
  • B帐号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,并将这个细粒度策略授予用户,使得用户仅能管理一个特定的委托。

操作流程

以B帐号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的的操作方法,委托权限分配完成后,B帐号中的IAM用户通过切换角色的方式,可以切换到A帐号中,管理委托方授权的资源。B帐号需要提前获取委托公司的华为云帐号名称、所创建的委托名称以及委托的ID。

  1. 创建自定义策略。

    • 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。
    • 如果需要用户管理所有委托,请跳过该步骤,直接执行步骤2
    1. B帐号登录华为云,进入控制台。
    2. 在统一身份认证服务左侧导航窗格中,单击“权限 > 创建自定义策略”
    3. 输入“策略名称”,例如“管理A公司的委托1”。
    4. “作用范围”选择“全局级服务”
    5. “策略配置方式”选择“JSON视图”
    6. “策略信息”区域,填入以下内容:
      {
              "Version": "1.1",
              "Statement": [
                      {
                              "Action": [
                                      "iam:agencies:assume"
                              ],
                              "Resource": {
                                      "uri": [
                                              "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..."
                                      ]
                              },
                              "Effect": "Allow"
                      }
              ]
      }

      "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,其他内容不需修改,直接拷贝即可。

    7. 单击“确定”

  2. 创建用户组并授权。

    1. 在统一身份认证服务左侧导航窗格中,单击“用户组”
    2. “用户组”界面中,单击“创建用户组”
    3. 输入“用户组名称”,例如“委托管理”。
    4. 单击“确定”

      返回用户组列表,用户组列表中显示新创建的用户组。

    5. 单击新建用户组右侧的“权限配置”,选择授权范围。
    6. 选择步骤1中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。
      • 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
      • “Agent Operator”权限:用户可以管理所有委托。
    7. 单击“确定”

  3. 创建用户并加入用户组。

    1. 在统一身份认证服务左侧导航窗格中,单击“用户”
    2. “用户”界面,单击“创建用户”
    3. “创建用户”界面,输入“用户名”“邮箱”
    4. “访问方式”选择“管理控制台访问”。
    5. “凭证类型”选择“首次登录时设置”。
    6. “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。
    7. 在“加入用户组”页面,选择步骤2中创建的用户组“委托管理”,单击“创建用户”

  4. 切换角色。

    1. 使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。登录方法,请参见:IAM用户登录
    2. 在控制台页面,右上方的用户名中,选择“切换角色”

    3. “切换角色”页面中,输入委托方的帐号名称,输入帐号名称后,系统将会按照顺序自动匹配委托名称。

      如果自动匹配的是没有授权的委托,系统将提示没有权限访问,可以删除委托名称,在下拉框中选择已授权的委托名称。

    4. 单击“确定”,切换至委托方帐号中。

分享:

    相关文档

    相关产品

close