Creación de un grupo de usuarios y asignación de permisos
Como administrador, puede crear grupos de usuarios y concederles permisos adjuntando directivas o roles. Los usuarios que agregue a los grupos de usuarios heredan permisos de las directivas o roles. IAM proporciona permisos generales (como permisos de administrador o de solo lectura) para cada servicio en la nube, que puede asignar a grupos de usuarios. Los usuarios de los grupos pueden utilizar los servicios en la nube basados en los permisos asignados. Para más detalles, consulte Asignación de permisos a un usuario de IAM. Para obtener más información sobre los permisos del sistema de todos los servicios en la nube, consulte Permisos de sistema.
Prerrequisitos
Antes de crear un grupo de usuarios, obtenga información sobre lo siguiente:
- Comprender los conceptos básicos de permisos.
- Conozca Permisos de sistema proporcionados por IAM.
Creación de grupos de usuarios
- Inicie sesión en la consola de IAM como administrador.
- En la consola de IAM, elija User Groups en el panel de navegación y haga clic en Create User Group en la esquina superior derecha.
Figura 1 Creación de grupos de usuarios
- En la página mostrada, escriba un nombre de grupo de usuarios.
- Haga clic en OK.
Puede crear un máximo de 20 grupos de usuarios. Para crear más grupos de usuarios, aumente la cuota haciendo referencia a ¿Cómo puedo aumentar mi cuota?
Asignación de permisos a un grupo de usuarios
Para asignar permisos a un grupo de usuarios, haga lo siguiente:
- En la lista de grupos de usuarios, haga clic en Authorize en la fila que contiene el grupo de usuarios recién creado.
Figura 2 Ir a la página de autorización de grupo de usuarios
- En la página Authorize User Group, seleccione los permisos que se asignarán al grupo de usuarios y haga clic en Next.
Si las directivas definidas por el sistema no cumplen sus requisitos, haga clic en Create Policy en la parte superior derecha para crear directivas personalizadas. Puede usarlos para complementar las políticas definidas por el sistema para un control de permisos refinado. Para más detalles, consulte Creación de una política personalizada.Figura 3 Selección de permisos
- Especifique el ámbito. El sistema recomienda automáticamente un ámbito de autorización para los permisos seleccionados. Tabla 1 describe todos los ámbitos de autorización proporcionados por IAM.
Tabla 1 Ámbitos de autorización Ámbito
Descripción
All resources
Los usuarios de IAM pueden usar los recursos de todos los proyectos específicos de la región y el proyecto de servicio global de su cuenta según lo especificado por los permisos.
Enterprise projects
Los usuarios de IAM pueden utilizar los recursos de los proyectos de empresa que seleccione, según lo especificado por los permisos. Esta opción sólo está disponible cuando se ha habilitado la función de proyecto de empresa.
Para más detalles sobre proyectos empresariales, consulte ¿Qué es el Servicio de Gestión de Proyectos Empresariales?. Para habilitar la función de proyecto empresarial, consulte Habilitación de la función de proyecto empresarial.
Region-specific projects
Los usuarios de IAM pueden usar los recursos de los proyectos específicos de la región que seleccione, según lo especificado por los permisos.
Si algunos de los permisos seleccionados pertenecen a servicios globales, el sistema establece automáticamente el ámbito de autorización de estos permisos en All resources. Los permisos seleccionados para los servicios de nivel de proyecto se aplicarán a los proyectos específicos de la región que seleccione.
Global services
Los usuarios de IAM pueden utilizar los servicios globales según lo especificado por los permisos. Los servicios globales se implementan sin especificar regiones físicas. Los usuarios de IAM no necesitan especificar una región al acceder a estos servicios, como Object Storage Service (OBS) y Content Delivery Network (CDN).
Si algunos de los permisos seleccionados pertenecen a servicios de nivel de proyecto, el sistema establece automáticamente el ámbito de autorización de estos permisos en All resources. Los permisos seleccionados para los servicios globales se aplicarán a los servicios globales.
- Haga clic en OK.
Tabla 2 enumera los permisos comunes. Para obtener la lista completa de permisos específicos del servicio, consulte Permisos de sistema.
- If you add a user to multiple groups, the user will inherit all the permissions that have been assigned to the groups.
- Para obtener más información acerca de la gestión de permisos, consulte Asignación de permisos al personal de O&M, Asignación de roles de dependencia y Casos de uso de políticas personalizadas.
Categoría |
Nombre de política/rol |
Descripción |
Alcance de la autorización |
---|---|---|---|
General administration |
FullAccess |
Permisos completos para los servicios que admiten el control de acceso basado en políticas. |
All |
Resource management |
Tenant Administrator |
Permisos de administrador para todos los servicios excepto IAM. |
All |
Viewing resources |
Tenant Guest |
Permisos de sólo lectura para todos los recursos. |
All |
IAM user management |
Security Administrator |
Permisos de administrador para IAM. |
Global services |
Accounting management |
BSS Administrator |
Permisos de administrador para el Centro de facturación, incluida la gestión de facturas, pedidos, contratos y renovaciones, y la visualización de facturas.
NOTA:
Esta función depende de el rol de BSS Administrator para que surta efecto. |
Region-specific projects |
Computing O&M |
ECS FullAccess |
Permisos de administrador para ECS. |
Region-specific projects |
CCE FullAccess |
Permisos de administrador para Cloud Container Engine (CCE). |
Region-specific projects |
|
CCI FullAccess |
Permisos de administrador para la instancia de contenedor de nube (CCI). |
Region-specific projects |
|
BMS FullAccess |
Permisos de administrador para Bare Metal Server (BMS). |
Region-specific projects |
|
IMS FullAccess |
Permisos de administrador para Image Management Service (IMS). |
Region-specific projects |
|
AutoScaling FullAccess |
Permisos de administrador para Auto Scaling (AS). |
Region-specific projects |
|
Network O&M |
VPC FullAccess |
Permisos de administrador para Virtual Private Cloud (VPC). |
Region-specific projects |
ELB FullAccess |
Permisos de administrador para Elastic Load Balance (ELB). |
Region-specific projects |
|
Database O&M |
RDS FullAccess |
Permisos de administrador para Relational Database Service (RDS). |
Region-specific projects |
DDS FullAccess |
Permisos de administrador para Document Database Service (DDS). |
Region-specific projects |
|
DDM FullAccess |
Permisos de administrador para Distributed Database Middleware (DDM). |
Region-specific projects |
|
Security O&M |
Anti-DDoS Administrator |
Permisos de administrador para Anti-DDoS. |
Region-specific projects |
CAD Administrator |
Permisos de administrador para Advanced Anti-DDoS (AAD). |
Region-specific projects |
|
WAF Administrator |
Permisos de administrador para Web Application Firewall (WAF). |
Region-specific projects |
|
VSS Administrator |
Permisos de administrador para Vulnerability Scan Service (VSS). |
Region-specific projects |
|
CGS Administrator |
Permisos de administrador para Container Guard Service (CGS). |
Region-specific projects |
|
KMS Administrator |
Permisos de administrador para Key Management Service (KMS), que se ha renombrado como Data Encryption Workshop (DEW). |
Region-specific projects |
|
DBSS System Administrator |
Permisos de administrador para Database Security Service (DBSS). |
Region-specific projects |
|
SES Administrator |
Permisos de administrador para Security Expert Service (SES). |
Region-specific projects |
|
SC Administrator |
Permisos de administrador para SSL Certificate Manager (SCM). |
Region-specific projects |