文档首页/ 统一身份认证服务 IAM/ 最佳实践/ 通过IAM对跨区域的指定资源进行授权
更新时间:2025-06-27 GMT+08:00
查看PDF
分享

通过IAM对跨区域的指定资源进行授权

A公司是华为云企业用户,企业中有多个项目团队,需要为项目团队购买资源、配置人员、进行项目管理。本文针对A公司提出的企业需求,给出多项目管理最佳实践。

企业需求

  • 需求1:A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源,A公司希望将资源按需分配给两个项目团队,某些服务可实现指定资源的分配,例如某一台ECS服务器只分配给指定IAM用户使用,且两个项目中的资源相互隔离。
  • 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。
  • 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。

解决方案

  • 针对需求1:当前华为云提供的企业管理服务(EPS)和统一身份认证服务(IAM),均可实现项目之间的资源隔离,但两种服务的实现逻辑及功能不同。
    • 企业管理服务:在企业管理服务中创建企业项目,企业项目之间的资源是逻辑隔离,针对企业不同项目间的资源进行分组和管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态地迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。
    • 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源
综上,企业管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,推荐A公司使用企业管理服务进行项目资源管理,以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别,请参见:统一身份认证和企业管理的区别
  • 针对需求2:A公司需要配合使用企业管理服务和统一身份认证服务,在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源使用权限。
    图1 A公司人员配置模型
    表1 A公司各用户组权限配置模型

    用户组

    职责

    所需权限

    描述

    财务组

    负责管理项目费用的使用情况。

    Enterprise Project BSS FullAccess

    企业项目费用的管理权限。

    开发组

    负责使用资源进行项目开发。

    ECS FullAccess

    弹性云服务器(ECS)的所有执行权限。

    OBS FullAccess

    对象存储服务(OBS)的所有执行权限。

    ELB FullAccess

    弹性负载均衡(ELB)的所有执行权限。

    安全维护组

    负责项目的安全运维。

    ECS CommonOperations

    弹性云服务器(ECS)的普通操作权限。

    CAD Administrator

    DDoS高防服务(AAD)的所有执行权限。

    运营组

    负责所有项目的总体运营。

    EPS FullAccess

    企业管理服务的所有执行权限,包括修改、启用、停用、查看企业项目。

    如需了解华为云所有云服务的系统权限,请参见:系统权限

  • 针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财务、退订、变更及配额。详情请参考:管理企业项目的财务信息

操作流程

针对A公司的企业需求及其解决方案,按照如下流程构建项目团队、购买资源,实现企业项目管理。

图2 企业项目管理流程图

步骤1:开通并创建企业项目:开通企业项目,并在企业管理服务控制台创建企业项目。

步骤2:创建IAM用户及用户组:在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户,并将IAM用户加入用户组,实现人员分组。

步骤3:企业项目与IAM用户组关联授权:在统一身份认证服务控制台为各用户组授予应有的权限,并将其加入相应的企业项目,实现人员授权。

步骤4:购买资源并关联企业项目:在云服务控制台购买资源,并选择所属企业项目,实现资源隔离。

后续操作:企业项目管理:在企业管理服务控制台进行人员、资源、财务管理。

开通并创建企业项目

通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目,请直接操作步骤 4

  1. A公司使用注册的华为账号登录华为云控制台,单击用户名,选择“基本信息”。
  2. 在基本信息页面,单击“开通企业项目”。

    如果您为未实名认证的账号,请先进行企业实名认证

  3. 在开通企业项目页面,勾选“我已阅读并同意《华为云企业管理使用协议》”,单击“申请开通”,开通企业项目。
  4. 在华为云控制台,单击“企业”,选择“项目管理”。

    图3 进入企业管理服务

  5. 在企业项目管理页面,单击“创建企业项目”。

    图4 进入创建企业项目页面

  6. 在创建企业项目页面,输入“名称”为“企业项目A”,单击“确定”,完成“企业项目A”创建。
  7. 重复步骤5~6,创建“企业项目B”。

    创建企业项目后,项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

创建IAM用户及用户组

本节以创建名为“企业项目A_财务”的用户组、名为“Murphy”的用户,并将“Murphy”加入“企业项目A_财务”为例,介绍创建用户组、IAM用户的方法。

  1. 创建用户组。

    1. 在华为云控制台,单击“管理与监管”,选择“统一身份认证服务”。
    2. 在统一身份认证服务的左侧导航栏中,单击“用户组”>“创建用户组”。
      图5 进入创建用户组页面
    1. 在创建用户组页面,输入“用户组名称”为“企业项目A_财务”,单击“确定”,用户组“企业项目A_财务”创建完成。
    2. 重复2~3为两个企业项目分别创建财务组、开发组、安全维护组、运营组。

    创建用户组后,用户组列表中显示新创建的用户组。

  2. 创建IAM用户并加入用户组。

    1. 在统一身份认证服务的左侧导航中,单击“用户”>“创建用户”。
    1. 在创建用户页面,填写“用户信息”,选择访问方式(如图6),单击“下一步”。
      图6 创建IAM用户
    1. 将创建的IAM用户“Murphy”加入相应的用户组“企业项目A_财务”,单击“创建用户”,IAM用户“Murphy”创建完成。
    图7 将IAM用户加入用户组
    1. 重复1~3为所有员工创建IAM用户,并将其加入相应的用户组。

    创建IAM用户后,用户列表中显示新创建的用户。在用户组的“用户管理”页面可以查看各个用户组中的IAM用户。

企业项目与IAM用户组关联授权

本节介绍在IAM控制台给用户组授予企业项目权限。通过本节,您将了解企业项目与IAM用户组关联授权的详细步骤。

  1. 管理员登录IAM控制台。
  2. 在用户组列表中,单击“项目团队A_财务”用户组右侧的“授权”。
  3. 在用户组选择策略页面中,搜索并选择“Enterprise Project BSS FullAccess”,单击“下一步”。

    如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略

    图8 选择权限

  4. 选择权限的作用范围为指定企业项目。

    图9 选择企业项目

  5. 在企业项目列表中选择“企业项目A”。
  6. 单击“确定”,完成用户组授权。

购买资源并关联企业项目

本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为企业项目购买资源。

  1. 登录华为云控制台,单击页面左上角的,选择“计算 > 弹性云服务器 ECS”。
  2. 单击页面右上角的“购买弹性云服务器”,系统进入购买页。

    图10 购买弹性云服务器

  3. 配置弹性云服务器各项信息,在“企业项目”下拉列表中选择“企业项目A”。

    图11 关联企业项目

  4. 单击页面右下角的“立即购买”跳转至支付页面,查看资源详情并提交订单。
  5. 按照1~4的方法,为两个企业项目分别购买所需资源。

    购买成功后,可以在企业管理页面中单击“企业项目A”、“企业项目B”右侧的“查看资源”查看企业项目中的资源。

后续操作:企业项目管理

经过以上步骤,用户可以在“企业>项目管理>企业项目管理”页面,管理自己的企业项目。

  • 资源管理:单击企业项目右侧的“查看资源”,即可查看企业项目的已有资源,并为企业项目迁入资源
  • 人员管理:单击企业项目右侧的“更多>权限管理”,系统将跳转至IAM控制台界面,在IAM控制台界面可查看企业项目所包含的用户、用户组,并修改用户、用户组及其权限。详细了解企业项目人员管理,请参见:企业项目人员管理
  • 财务管理:单击企业项目右侧的“查看消费”,即可查看企业项目的订单、费用账单,并进行续费管理。详细了解企业项目财务管理,请参见:管理企业项目的财务信息

相关文档