¿Cómo puedo conceder a un usuario de IAM permisos para realizar pedidos pero no permitir el pago de pedidos?
Síntoma
Desea conceder a un usuario de IAM permisos para realizar pedidos, pero no permitir que el usuario pague por los pedidos.
Soluciones
Sin embargo, los permisos del sistema del Centro de facturación registrado con IAM no pueden cumplir con sus requisitos. Debe crear una política personalizada que contenga los permisos necesarios y utilizar la política para conceder permisos al usuario de IAM.
Prerrequisitos
Ya ha creado el usuario A y el grupo B de usuarios de IAM y ha agregado el usuario al grupo de usuarios. Para obtener más información, consulte Creación de un usuario de IAM.
Procedimiento
- Inicie sesión en la consola de gestión de Huawei Cloud.
- En la consola de gestión, coloque el puntero del ratón sobre el nombre de usuario en la esquina superior derecha y elija Identity and Access Management en la lista desplegable.
- En la consola de IAM, elija Permissions > Policies/Roles en el panel de navegación y haga clic en Create Custom Policy en la esquina superior derecha.
Figura 1 Creación de una política personalizada
- Establezca el nombre de la política en BillingCenter_Orders.
- Establezca el ámbito en Project-level services.
Figura 2 Configuración del ámbito
- Seleccione Visual editor.
- En el área Policy Content, configure permisos que permitan al usuario realizar pedidos pero que no permitan al usuario pagar los pedidos.
- Configuración de permisos para no permitir el pago de pedidos
- Seleccione Deny.
- Para el servicio en la nube, seleccione BSS (BSS).
- En el paso Select action, expanda el área ReadWrite y seleccione la acción bss:order:pay.
Figura 3 Configuración de permisos para no permitir el pago de pedidos
- Establezca el tipo de recurso en All.
- Configuración de permisos para permitir la colocación de pedidos
- Seleccione Allow.
- Para el servicio en la nube, seleccione BSS (BSS).
- En el paso Select action, expanda el área ReadWrite, seleccione la acción bss:order:update, y seleccione todas las acciones en el área ReadOnly.
Figura 4 Configuración de permisos para permitir la colocación de pedidos
- Establezca el tipo de recurso en All.
- Configuración de permisos para no permitir el pago de pedidos
- Establezca una descripción para la política, por ejemplo, "Permisos para realizar pedidos pero no permitir el pago de pedidos."
- Haga clic en OK.
- Adjunte la política al grupo de usuarios B. Los usuarios del grupo heredan los permisos definidos en esta política.
Puede adjuntar políticas personalizadas a un grupo de usuarios del mismo modo que adjunta políticas definidas por el sistema. Para obtener más información, consulte Creación de un grupo de usuario y asignación de permisos.
- Cuando el usuario de IAM inicia sesión y va a la página My Orders del Centro de facturación, el botón Pay no aparece en la columna Operation.
Figura 5 La página My Orders se muestra si los permisos se conceden correctamente
Figura 6 Se muestra la página My Orders si no se conceden los permisos