Criação de um grupo de usuários e atribuição de permissões
Como administrador, você pode criar grupos de usuários e conceder permissões a eles anexando políticas ou funções. Os usuários que você adiciona aos grupos de usuários herdam permissões das políticas ou funções. Os usuários do IAM podem atribuir permissões a si mesmos. O IAM fornece permissões gerais (como permissões de administrador ou somente leitura) para cada serviço de nuvem, que você pode atribuir a grupos de usuários. Os usuários nos grupos podem então usar serviços de nuvem com base nas permissões atribuídas. Para mais detalhes, consulte Atribuição de permissões a um usuário do IAM. Para obter detalhes sobre as permissões definidas pelo sistema de todos os serviços de nuvem, consulte Permissões definidas pelo sistema.
Pré-requisitos
Antes de criar um grupo de usuários, saiba mais sobre o seguinte:
- Entenda os conceitos básicos de permissões.
- Conheça as permissões definidas pelo sistema fornecidas pelo IAM.
Criação de um grupo de usuários
- Faça logon no console do IAM como administrador.
- No console do IAM, escolha User Groups no painel de navegação e clique em Create User Group no canto superior direito.
Figura 1 Criação de um grupo de usuários
- Na página exibida, insira um nome de grupo de usuários.
- Clique em OK.
Você pode criar um máximo de 20 grupos de usuários. Para criar mais grupos de usuários, aumente a cota referindo-se a Como aumentar minha cota?
Atribuição de permissões a um grupo de usuários
Para atribuir permissões a um grupo de usuários, faça o seguinte. Para revogar permissões de um grupo de usuários, consulte Revogação de permissões de um grupo de usuários.
- Na lista de grupos de usuários, clique em Authorize na linha que contém o grupo de usuários criado.
Figura 2 Acessar a página de autorização do grupo de usuários
- Na página Authorize User Group, selecione as permissões a serem atribuídas ao grupo de usuários e clique em Next.
Se as políticas definidas pelo sistema não atenderem aos seus requisitos, clique em Create Policy no canto superior direito para criar políticas personalizadas. Você pode usá-las para complementar as políticas definidas pelo sistema para um controle refinado das permissões. Para mais detalhes, consulte Criação de uma política personalizada.Figura 3 Seleção de permissões
- Especifique o escopo. O sistema recomenda automaticamente um escopo de autorização para as permissões selecionadas. Tabela 1 descreve todos os escopos de autorização fornecidos pelo IAM.
Tabela 1 Escopos de autorização Escopo
Descrição
All resources
Os usuários do IAM poderão usar todos os recursos, incluindo aqueles em projetos empresariais, projetos da região específica e serviços globais em sua conta com base nas permissões atribuídas.
Enterprise projects
Os usuários do IAM podem usar os recursos nos projetos empresariais selecionados com base nas permissões atribuídas. Essa opção está disponível somente quando o Enterprise Project está ativado.
Para obter detalhes sobre projetos empresariais, consulte O que é o Enterprise Project Management Service?. Para ativar Enterprise Project, consulte Ativação da função Enterprise Project.
Region-specific projects
Os usuários do IAM podem usar os recursos nos projetos da região específica selecionados com base nas permissões atribuídas.
Se você selecionou permissões de serviço global e especificou o escopo como Region-specific projects, as permissões de serviço global serão aplicadas a todos os recursos por padrão. As permissões selecionadas para serviços no nível do projeto serão aplicadas aos projetos da região específica que você selecionar.
NOTA:Projetos da região específica em Dedicated Cloud não são suportados.
Global services
Os usuários do IAM podem usar serviços globais com base nas permissões atribuídas. Os serviços globais são implementados sem regiões físicas especificadas. Os usuários do IAM não precisam especificar uma região ao acessar esses serviços, como Object Storage Service (OBS) e Content Delivery Network (CDN).
Se você selecionou permissões de serviço no nível do projeto e especificou o escopo como Global services, as permissões de serviço no nível do projeto serão aplicadas a todos os recursos por padrão. As permissões selecionadas para serviços globais ainda serão aplicadas aos serviços globais selecionados.
- Clique em OK.
Tabela 2 lista as permissões comuns. Para obter a lista completa de permissões específicas do serviço, consulte Permissões definidas pelo sistema.
- Se você adicionar um usuário a vários grupos, o usuário herdará todas as permissões que foram atribuídas a esses grupos.
- Para obter mais informações sobre gerenciamento de permissões, consulte Atribuição de permissões ao pessoal de O&M, Atribuição de funções de dependência e Casos de uso de políticas personalizadas.
|
Categoria |
Nome da política/função |
Descrição |
Escopo de autorização |
|---|---|---|---|
|
Administração geral |
FullAccess |
Permissões completas para serviços que suportam controle de acesso baseado em políticas. |
Todos |
|
Gerenciamento de recursos |
Tenant Administrator |
Permissões de administrador para todos os serviços, exceto o IAM. |
Todos |
|
Visualização de recursos |
Tenant Guest |
Permissões somente leitura para todos os recursos. |
Todos |
|
Gerenciamento de usuários do IAM |
Security Administrator |
Permissões de administrador para o IAM. |
Global services |
|
Gerenciamento de contabilidade |
BSS Administrator |
Permissões de administrador para a Central de cobrança, incluindo o gerenciamento de faturas, pedidos, contratos e renovações, além da visualização de faturas.
NOTA:
Essa função depende da função BSS Administrator para entrar em vigor. |
Region-specific projects |
|
O&M de computação |
ECS FullAccess |
Permissões de administrador para o ECS. |
Region-specific projects |
|
CCE FullAccess |
Permissões de administrador para o Cloud Container Engine (CCE). |
Region-specific projects |
|
|
CCI FullAccess |
Permissões de administrador para Cloud Container Instance (CCI). |
Region-specific projects |
|
|
BMS FullAccess |
Permissões de administrador para Bare Metal Server (BMS). |
Region-specific projects |
|
|
IMS FullAccess |
Permissões de administrador para Image Management Service (IMS). |
Region-specific projects |
|
|
AutoScaling FullAccess |
Permissões de administrador para Auto Scaling (AS). |
Region-specific projects |
|
|
O&M de rede |
VPC FullAccess |
Permissões de administrador para Virtual Private Cloud (VPC). |
Region-specific projects |
|
ELB FullAccess |
Permissões de administrador para Elastic Load Balance (ELB). |
Region-specific projects |
|
|
O&M do banco de dados |
RDS FullAccess |
Permissões de administrador para Relational Database Service (RDS). |
Region-specific projects |
|
DDS FullAccess |
Permissões de administrador para Document Database Service (DDS). |
Region-specific projects |
|
|
DDM FullAccess |
Permissões de administrador para Distributed Database Middleware (DDM). |
Region-specific projects |
|
|
O&M de segurança |
Anti-DDoS Administrator |
Permissões de administrador para Anti-DDoS. |
Region-specific projects |
|
AAD Administrator |
Permissões de administrador para Advanced Anti-DDoS (AAD). |
Region-specific projects |
|
|
WAF Administrator |
Permissões de administrador para Web Application Firewall (WAF). |
Region-specific projects |
|
|
VSS Administrator |
Permissões de administrador para Vulnerability Scan Service (VSS). |
Region-specific projects |
|
|
CGS Administrator |
Permissões de administrador para Container Guard Service (CGS). |
Region-specific projects |
|
|
KMS Administrator |
Permissões de administrador para Key Management Service (KMS), que foi renomeado para Data Encryption Workshop (DEW). |
Region-specific projects |
|
|
DBSS System Administrator |
Permissões de administrador para Database Security Service (DBSS). |
Region-specific projects |
|
|
SES Administrator |
Permissões de administrador para Security Expert Service (SES). |
Region-specific projects |
|
|
SC Administrator |
Permissões de administrador para SSL Certificate Manager (SCM). |
Region-specific projects |
