准备工作

一、获取AK、SK密钥、账号ID

部署该方案之前，需要您在华为云控制台获取AK、SK密钥及账号ID，您将会在3.2-快速部署中填写参数以完成该解决方案的一键部署。

根据官方文档指引，在控制台--我的凭证--访问密钥中配置访问密钥AK并下载秘密访问密钥SK。

图2 创建AK，SK

二、获取企业项目ID

1. 进入华为云官网，打开企业项目管理界面，选择一个企业项目，该解决方案所有云资源将部署在该企业项目下。
   图3 企业项目列表
   

2. 单击该企业项目，复制企业项目ID。
   图4 企业项目ID
   

三、创建rf_admin_trust委托

1. 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。
   图5 控制台管理界面
   
   图6 统一身份认证菜单
   

2. 进入“委托”菜单，搜索“rf_admin_trust”委托。
   图7 委托列表

   

   • 如果委托存在，则不用执行接下来的创建委托的步骤
   • 如果委托不存在时执行接下来的步骤创建委托

3. 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。
   图8 创建委托
   

4. 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。
   图9 选择策略
   

5. 选择“所有资源”，并单击下一步完成配置。
   图10 设置授权范围
   

6. “委托”列表中出现“rf_admin_trust”委托则创建成功。
   图11 委托列表
   

7. 进入“权限管理”-> “权限”菜单，在搜索框输入“IAM Agency Management FullAccess”当前账号是否存在IAM委托管理权限。
   图12 权限列表
   
   • 如果搜索结果不为空，则当前账号已经存在IAM委托管理权限，检查该委托权限是否包含步骤9中的权限，如果无则在现有“Action”中追加斜体加粗内容即可
   • 如果过搜索结果为空，则继续创建“IAM Agency Management FullAccess”权限

8. 单击“创建自定义策略”按钮
   图13 创建自定义策略
   

9. 输入策略名称为“IAM Agency Management FullAccess”，选择“JSON视图”，在策略内容中输入如下JSON代码，单击确认按钮。
   图14 IAM策略
   

   {
       "Version": "1.1",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                     "iam:roles:deleteRole",
                   "iam:roles:listRoles",
                   "iam:roles:getRole",
                   "iam:agencies:deleteAgency",
                   "iam:roles:createRole",
                   "iam:agencies:getAgency",
                   "iam:agencies:createAgency",
                   "iam:permissions:grantRoleToAgencyOnProject"
               ]
           }
       ]
   }

10. 界面无报错，则成功创建IAM Agency Management FullAccess权限。
11. 进入“委托”菜单，选择rf_admin_trust委托
    图15 委托列表
    

12. 进入“授权记录”菜单，单击“授权”按钮
    图16 授权记录
    

13. 在搜索框输入IAM Agency Management FullAccess，勾选过滤出来的记录，单击下一步，并确认完成权限的配置
    图17 配置IAM Agency Management FullAccess策略
    

14. 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限
    图18 授权记录列表