文档首页/ 统一身份认证服务 IAM/ 最佳实践/ 常用委托配置案例/ 分配委托权限(被委托方操作)
更新时间:2024-06-19 GMT+08:00
分享

分配委托权限(被委托方操作)

B公司为专业的代运维公司,当其他公司(例如A公司)与B公司创建了委托关系,即B公司为被委托方。B公司希望将其他公司委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托以及委托的细粒度授权。

企业需求

  • B公司希望将其他公司委托的资源分配给公司中员工(IAM用户),让员工帮助管理委托的资源。
  • 如果一个公司与B公司创建了多个委托关系,B公司希望这些委托分配给不同的员工,让员工仅能管理一个特定的委托。

解决方案

针对以上企业需求,可以使用IAM的用户授权功能,实现给员工分配委托以及委托的细粒度授权。

  • B账号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用户,员工使用这个用户帮助B账号管理委托。
  • B账号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,并将这个细粒度策略授予用户,使得用户仅能管理一个特定的委托。

操作流程

以B账号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。

  1. 创建用户组并授权。

    1. B账号在统一身份认证服务左侧导航窗格中,单击“用户组”
    2. “用户组”界面中,单击“创建用户组”
    3. 输入“用户组名称”,例如“委托管理”。
    4. 单击“确定”

      返回用户组列表,用户组列表中显示新创建的用户组。

    5. 单击新建用户组右侧的“授权”,进入授权界面。
      • 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。
      • 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步
      1. 在选择策略页面,单击权限列表右上角“新建策略”。
      2. 输入“策略名称”,例如“管理A公司的委托1”。
      3. “策略配置方式”选择“JSON视图”。
      4. 在“策略内容”区域,填入以下内容:
        {
                "Version": "1.1",
                "Statement": [
                        {
                                "Action": [
                                        "iam:agencies:assume"
                                ],
                                "Resource": {
                                        "uri": [
                                                "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..."
                                        ]
                                },
                                "Effect": "Allow"
                        }
                ]
        }

        "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。

      5. 单击“下一步”,继续完成授权。
    6. 选择上一步中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。
      • 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
      • “Agent Operator”权限:用户可以管理所有委托。
    7. 选择授权作用范围。
    8. 单击“确定”

  2. 创建用户并加入用户组。

    1. 在统一身份认证服务左侧导航窗格中,单击“用户”
    2. “用户”界面,单击“创建用户”
    3. “创建用户”界面,输入“用户名”“邮箱”
    4. “访问方式”选择“管理控制台访问”。
    5. “凭证类型”选择“首次登录时设置”。
    6. “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。
    7. 在“加入用户组”页面,选择步骤2中创建的用户组“委托管理”,单击“创建用户”

  3. 切换角色。

    1. 使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。登录方法,请参见:IAM用户登录
    2. 在控制台页面,右上方的用户名中,选择“切换角色”
      图1 切换角色
    3. “切换角色”页面中,输入委托方的账号名称,输入账号名称后,系统将会按照顺序自动匹配委托名称。

      如果自动匹配的是没有授权的委托,系统将提示没有权限访问,可以删除委托名称,在下拉框中选择已授权的委托名称。

    4. 单击“确定”,切换至委托方账号中。

相关文档