通过IAM对多运维人员进行权限设置
方案概述
A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的身份策略功能可以实现该需求。
资源规划
根据A公司中员工所负责的不同职能,将员工划分为以下七个团队。
- 资源总运维:负责管理公司所有资源的团队。
- 财务管理:负责管理公司财务的团队。
- 查看资源:负责查看并监控所有资源使用情况的团队。
- 计算域运维:负责计算域运维的团队。
- 网络域运维:负责网络域运维的团队。
- 数据库运维:负责数据库运维的团队。
- 安全域运维:负责安全域运维的团队。
|
职能团队 |
需要授予的策略 |
权限说明 |
|---|---|---|
|
资源总运维 |
AdministratorAccessPolicy |
所有服务的所有权限。 |
|
财务管理 |
BILLINGFullAccessPolicy |
费用中心、账号中心、成本中心、企业中心、消息中心的所有执行权限。 |
|
查看资源 |
ReadOnlyPolicy |
所有服务的只读权限。 |
|
计算域运维 |
ECSFullPolicy |
弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
CCEFullPolicy |
云容器引擎(CCE)的所有执行权限,包括购买CCE的权限,仅拥有该权限的用户不能查看CCE以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
|
ASFullPolicy |
弹性伸缩(AS)的所有执行权限,包括购买AS的权限,仅拥有该权限的用户不能查看AS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
|
网络域运维 数据库运维 安全领域运维 |
VPCFullAccessPolicy ELBFullAccessPolicy RDSFullAccessPolicy DDSFullAccessPolicy DDMFullAccessPolicy Anti-DDoSFullAccessPolicy AADFullAccessPolicy KMSFullAccessPolicy |
虚拟私有云(VPC)的所有执行权限,包括购买VPC的权限,仅拥有该权限的用户不能查看VPC以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 弹性负载均衡(ELB)的所有执行权限,包括购买ELB的权限,仅拥有该权限的用户不能查看ELB以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 云数据库(RDS)的所有执行权限,包括购买RDS的权限,仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 文档数据库服务(DDS)的所有执行权限,包括购买DDS的权限,仅拥有该权限的用户不能查看DDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 分布式数据库中间件的所有执行权限。 Anti-DDoS流量清洗服务的所有执行权限。 DDoS高防服务的所有执行权限。 KMS的所有权限策略,包括购买KMS的权限,仅拥有该权限的用户不能查看KMS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 |
|
资源 |
资源名称 |
资源说明 |
数量 |
|---|---|---|---|
|
管理员账号 |
Company-A |
A公司用于管理资源和权限所创建的账号。 |
1 |
|
IAM用户组 |
网络域运维 |
A公司根据团队职能需要划分为七个用户组,此处仅以创建用户组“网络域运维”为例。 |
1 |
|
IAM用户 |
James、Alice |
此处仅以创建IAM用户“James”和“Alice”为例。 |
2 |
|
权限 |
VPC FullAccess、ELB FullAccess |
根据上表可知,需要为“网络域运维”用户组配置两个权限。 |
2 |
因为统一身份认证服务为免费服务,因此此最佳实践中不涉及费用。
操作流程
IAM通过用户组功能实现用户的授权。本文档以A公司将一个员工配置为网络域运维负责人为例,介绍如何通过IAM实现多运维人员权限设置需求,流程如图2 操作流程所示。如果需要将员工配置为其他运维负责人,请参考表1 团队权限说明,为相关负责人授予相应的系统身份策略。
步骤一:创建用户组并授权
- A公司管理员登录并进入华为云控制台。
- 在控制台页面中将鼠标移动至右上角的用户名,选择“统一身份认证”。
- 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。
图3 创建用户组
- 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。
图4 输入名称
- 单击新建用户组右侧的“授权”。
图5 授权
- 在搜索框中搜索“VPCFullAccessPolicy”和“ELBFullAccessPolicy”,勾选并单击“确定”。
图6 勾选权限
- 单击“确定”,完成对“网络域运维”用户组的授权。创建成功的用户组将会展示在用户组列表中。
步骤二:创建IAM用户并加入用户组
- A公司管理员在统一身份认证服务,左侧导航中,选择“用户”。
- 在用户页面,单击右上角“创建用户”。
图7 创建用户
- 配置用户James和Alice的基本信息
- 单击“下一步”,将IAM用户James、Alice加入到上一步中创建的“网络域运维”用户组。
图9 加入用户组
- 单击“创建创建用户”,IAM用户创建完成,此时可以下载登录密码。
图10 创建成功
步骤3:IAM用户登录并验证权限
IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云。
- IAM用户James或Alice在华为云登录页面,单击右下角的“IAM用户登录”。
- 在“IAM用户登录”页面,输入A公司账号名Company-A、IAM用户名及用户密码。
- 账号名为该IAM用户所属账号的名称。
- 用户名和密码为账号在IAM创建用户时输入的用户名和密码。
图11 IAM用户登录
- 登录成功后,IAM用户进入华为云控制台。
- 在“服务列表”中选择虚拟私有云VPC、弹性负载均衡ELB,可以进入这些服务的主页面并进行管理操作,权限配置成功。
- 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成功。
