设备接入 IoTDA设备接入 IoTDA

文档首页> 设备接入 IoTDA> 最佳实践> 运用IAM服务实现多部门的资源空间权限隔离
更新时间:2021/07/08 GMT+08:00
分享

运用IAM服务实现多部门的资源空间权限隔离

场景说明

一个企业分设多个业务部门,各业务部门接入物联网平台的设备数据需要独立管理。在此场景下,可以给各业务部门分配各自所需的IAM用户账号,通过IAM服务的自定义策略给各业务部门下的IAM用户授予独立的资源空间查看管理权限。

假设某企业下有A和B两个业务部门,希望各业务部门的产品、设备等数据分别存放在各自的资源空间下,且各业务部门的用户只有查看管理本部门资源空间的权限。在本场景下两个部门的IAM用户与资源空间之间的逻辑关系如图所示。

具体的操作流程如下图所示:

前提条件

  1. 已开通华为云账号且拥有IAM管理员权限。
  2. 已开通设备接入(IoTDA)服务企业版实例。如何开通企业版实例,请参考这里

创建资源空间

  1. 访问设备接入服务,单击“立即使用”进入设备接入控制台。
  2. 单击左侧导航栏“IoTDA实例”,会显示实例类型。在企业版中,找到目标实例所在的行,单击“切换”,将当前实例切换为企业版。

  3. 在左侧导航栏,单击“资源空间”,单击右上角的“新建资源空间”,为部门A创建名称为“ResourceForDeptA”的资源空间A,为部门B创建名称为“ResourceForDeptB”的资源空间B。
  4. 在资源空间列表页,记录下资源空间ID,即“APPID”。

创建IAM用户

使用管理员账号分别为部门A、B创建IAM用户1、IAM用户2。如何创建请参见创建IAM用户

创建自定义策略

使用管理员账号为部门A、B分别创建自定义策略。

  1. 访问进入统一身份认证服务IAM 控制台,单击左侧导航栏的“权限”。单击右上角的“新增自定义策略”按钮。

  2. 参考下表,完成各项参数配置,单击页面右下角的“确认”按钮,创建自定义策略。

    参数

    内容

    策略名称

    自定义,如policy_for_DeptA

    作用范围

    选择“项目级服务”

    策略配置方式

    选择“可视化视图”

    策略内容

    从已有策略复制

    选择“允许”

    云服务

    输入“iotda”,选择“设备接入”

    操作

    根据需要选择,如此处需要给部门A分配除增删资源空间外的所有权限。勾选“选择所有操作”后,再去勾选“iotda:app:create”和“iotda:app:delete”。

    特定资源

    1. 资源:选择“特定资源”
    2. app:选择“通过资源路径指定”
    3. 单击“添加资源路径”,在弹出的页面的“路径”,输入资源空间A的资源空间ID(获取方式参考3),单击“确认”按钮。

  3. 参照步骤2,创建自定义策略policy_for_DeptB,该策略仅有资源空间B的使用管理权限。
  4. 选择左侧导航栏的“用户组”,单击右上角的“创建用户组”,填写用户组的名称,如“userGroupForDeptA”,创建用户组A。用户组用于关联用户和自定义策略。
  5. 为用户组A配置自定义策略。
    1. 在用户组列表页,单击用户组A所在行的“权限配置”。在“权限管理”页签,单击“配置权限”。
    2. 选择作用范围
      • 选择“区域级项目”。
      • 根据token级别,在下拉框中选择需要授权的区域,此处选择“北京四”。
    3. 在下拉框分别选择“自定义策略”。
    4. 勾选步骤2创建的自定义策略“policy_for_DeptA”,单击右下角的“确认”按钮。

  6. 单击“用户管理”页签,单击“添加”,勾选刚创建的用户“iamuser_DeptA”,单击“确认”按钮,将用户1“iamuser_DeptA”添加到用户组A中。用户1“iamuser_DeptA”拥有自定义策略“policy_for_DeptA”的权限,即在资源空间A,拥有除增删资源空间以外的所有权限。

  7. 参照步骤456,再创建一个名称为“userGroupForDeptB”用户组B,并为该用户组配置自定义策略“policy_for_DeptB”,将用户2“iamuser_DeptB”加入用户组B。用户“iamuser_DeptB”在资源空间B,拥有除增删资源空间以外的所有权限。

验证操作

使用用户1“iamuser_DeptA”登录华为云,在设备接入服务的控制台可看到,该用户只能操作资源空间A相关的资源。

操作步骤:

  1. 在华为云登录页面,单击“IAM用户登录”,将登陆方式切换为IAM用户登录。

  2. 在“IAM用户登录”页面,输入账号名、用户名及用户密码,使用新创建的IAM用户登录。
    • 账号名为该IAM用户所属华为云账号的名称。

    • 用户名和密码为创建IAM用户1“iamuser_DeptA”时输入的用户名和密码,首次登录时需要重置密码。

    如果登录失败,您可以联系您的账号主体,确认用户名及密码是否正确,或是重置用户名及密码,重置方法请参见:忘记IAM用户密码

  3. 访问设备接入服务,单击“立即使用”,进入设备接入控制台,查看页面左上角的实例类型,确认已经切换至“企业版”。
  4. 单击左侧导航栏的“产品”,用户只能操作资源空间A下的资源,说明通过自定义策略,企业版实例的用户可以实现资源空间的权限隔离。

  5. 退出登录,再使用管理员账号登录华为云。访问设备接入服务,单击“立即使用”,进入设备接入控制台,查看页面左上角的实例类型,确认已经切换至“企业版”。
  6. 单击左侧导航栏的“产品”,管理员账号的用户可以操作资源空间A下的资源。

分享:

    相关文档

    相关产品