更新时间:2024-01-05 GMT+08:00
IAM用户配置权限实践
应用场景
UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。
例如,某公司同时推进两个项目组,每个项目组中有多名成员,权限分配如图1所示。
- 项目组A在开发过程中需要舰队1、2的管理员权限以及舰队3的只读权限。
- 项目组B在开发过程中需要舰队1、3的管理员权限以及舰队2的只读权限。
解决方案
要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功能,IAM系统策略控制用户可操作哪些UCS控制台的功能,UCS权限管理控制用户可操作哪些舰队和集群资源。
如图2所示,授权包括如下两大步骤。
前提条件
步骤一:IAM管理员授权
- 使用IAM管理员帐号登录IAM控制台。
- 左侧导航栏选择“用户组”,单击右上角“创建用户组”。
- 在“创建用户组”界面,输入管理员用户组的名称及描述,单击“确定”,完成用户组创建。
图3 创建用户组
- 在用户组列表中,单击目标用户组右侧的“授权”按钮。
图4 授权
- 搜索并选择权限策略UCS FullAccess。
图5 选择策略
- 单击“下一步”,选择授权范围方案。
选择“所有资源”,不设置最小授权范围,用户可根据权限使用帐号中所有资源,包括企业项目、区域项目和全局服务资源。
- 单击“确定”完成授权。
- 左侧导航栏选择“用户”,单击右上角“创建用户”,新建一个IAM用户。
填写用户名及初始密码,其余参数说明请参见创建IAM用户。
- 单击“下一步”,选择加入4中已授权的用户组。
图6 加入用户组
- 单击“创建用户”。
- 重复上述步骤,完成表1中其他用户组、用户的创建和授权。
步骤二:UCS管理员授权
- 使用UCS管理员登录UCS控制台,在左侧导航栏选择“权限管理”。
- 单击右上角的“创建权限”按钮。
- 在弹出页面中填写权限的参数项,如图7所示。
- 权限名称:自定义权限的名称,需以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾。
- 用户:选择权限关联的用户,即上一步创建的IAM用户。实际应用中,一个用户组会有多个用户,创建权限时,可以将这个用户组下的所有用户全部选中,以达到批量授权的目的。
- 权限类型:选择“管理员权限”。管理员权限表示对所有集群资源对象的读写权限。
- 单击“确定”,创建权限。
- 权限创建完成后,可前往“容器舰队”页面,单击目标舰队右上角
按钮。
图8 为舰队关联权限
- 在弹出的页面单击“关联权限”,打开“修改权限”页面,将3中创建的权限和舰队的全部命名空间关联起来。
图9 关联权限
- 单击“确定”。完成后,使用该IAM用户登录UCS控制台可使用权限范围内的功能。
- 重复以上步骤,完成表2中其他权限的创建,以及权限和舰队的关联。
父主题: 权限配置
