Autorização de usuários do IAM para gerenciar recursos de uma conta
A empresa B é uma empresa profissional de O&M. Ela se torna uma parte delegada após ser autorizada pela empresa A. A empresa B atribui permissões a um ou mais de seus usuários de IAM para gerenciar os recursos da empresa A.
Requisitos
- A empresa B quer autorizar seus funcionários (usuários do IAM) a gerenciar os recursos delegados da empresa A.
- Se a empresa A cria várias agências para a empresa B, a empresa B pode alocar as agências para diferentes funcionários. Isso permitirá que cada funcionário gerencie apenas recursos de agências específicas.
Solução
- A conta B cria usuários no console do IAM e concede as permissões (incluindo Agent Operator) necessárias para o gerenciamento de recursos delegados aos usuários.
- A conta B cria uma política personalizada com apenas as permissões necessárias para gerenciar os recursos delegados de uma agência. Em seguida, a conta B anexa a política ao grupo ao qual um usuário pertence, para que o usuário só possa gerenciar os recursos da agência.
Procedimento
A conta B executa o procedimento a seguir para autorizar os usuários do IAM a gerenciar recursos de agências específicas. Após a autorização, os usuários do IAM da conta B podem mudar suas funções para a conta A para gerenciar os recursos da conta A. Para fazer isso, a conta B precisa ter obtido a conta (HUAWEI ID), o nome da agência e o ID da agência da parte delegante.
- Crie um grupo de usuários e conceda permissões a ele.
- No painel de navegação, escolha User Groups.
- Na página User Groups, clique em Create User Group.
- Digite o nome do grupo de usuários, por exemplo, Agency Management.
- Clique em OK.
O grupo de usuários é exibido na lista de grupos de usuários.
- Na linha que contém o grupo de usuários de destino, clique em Authorize.
- Para autorizar um usuário a gerenciar apenas os recursos de uma agência específica, execute as etapas a seguir.
- Para autorizar um usuário a gerenciar os recursos de todas as agências, vá para a próxima etapa.
- Na página Select Policy/Role, clique em Create Policy no canto superior direito.
- Digite um nome de política, por exemplo, Agency 1 for Managing Company A.
- Selecione JSON para Policy View.
- Na área Policy Content, insira o seguinte conteúdo:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
Substitua b36b1258b5dc41a4aa8255508xxx... pelo ID da agência obtido de uma parte delegante. Não faça nenhuma outra alteração.
- Clique em Next.
- Selecione a agência Agency 1 for Managing Company A criada na etapa anterior ou a função Agent Operator.
- A política personalizada permite que o usuário gerencie apenas recursos de um ID de agência específica.
- A função Agent Operator permite que o usuário gerencie os recursos de todas as agências.
- Especifique o escopo da autorização.
- Clique em OK.
- Crie um usuário e adicione o usuário ao grupo de usuários.
- No painel de navegação, escolha Users.
- Na página Users, clique em Create User.
- Na página Create User, insira um nome de usuário e um endereço de e-mail.
- Para Access Type, selecione Management console access.
- Para Credential Type, selecione Set by user.
- Habilite a proteção de logon, selecione um modo de verificação e clique em Next.
- Selecione o grupo de usuários Agency Management criado em 2 e clique em Create.
- Mude o papel.
- Faça logon na Huawei Cloud como o usuário criado em 2. Para obter mais informações, consulte Fazer logon como um usuário do IAM.
- Clique no nome de usuário no canto superior direito e escolha Switch Role.
- Insira o nome da conta da parte delegante. A agência criada pela parte delegante é exibida automaticamente.
Se uma agência diferente das agências criadas pela parte delegante for exibida, uma mensagem será exibida indicando que você não tem permissões de acesso. Selecione a agência correta na caixa de listagem suspensa Agency Name.
- Clique em OK para alternar para a conta de delegação.
