为用户设置禁止删除备份和恢复操作的权限
为保障业务和数据安全,您可以通过统一身份认证服务IAM的策略限定用户对云备份的某些特定行为的操作权限,防止用户误操作导致的数据丢失风险产生。本文介绍如何为用户配置禁止删除备份和禁止恢复操作的权限。
应用场景
企业A购买了ECS实例部署业务,同时为这些ECS实例设定了每日22:00执行备份任务的备份策略。为了确保其业务和数据安全,企业希望运维人员不能随意对ECS实例进行删除备份和数据恢复操作。
根据以上场景,企业可以根据需求创建自定义策略,然后为IAM用户授予对应的权限,从而保证IAM用户只能进行删除备份或恢复外的操作。
步骤一:创建自定义策略
- 管理员登录IAM控制台。
- 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。
图1 创建自定义策略
- 输入“策略名称”,以“example-policy”为例。
- “策略配置方式”选择“可视化视图”。
- 在“策略内容”下配置策略。
图2 配置策略
- (可选)“策略配置方式”选择“可视化视图”。在“策略内容”下配置策略。
{ "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cbr:backups:restore", "cbr:backups:delete" ] } ] }
- (可选)输入“策略描述”。
- 单击“确定”。
步骤二:创建IAM用户组
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。
图3 创建用户组
- 在“创建用户组”界面,输入“用户组名称”为“运维人员组”。
用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。图4 输入用户组信息
- 单击“确定”,完成用户组创建。
返回用户组列表,创建成功的用户组“运维人员组”将会展示在用户组列表中。
步骤三:为IAM用户组授权
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”。
- 在用户组列表中,单击新建用户组“运维人员组”右侧的“授权”。
图5 授权
- 在用户组选择策略页面中,勾选步骤一创建的策略“example-policy”。单击“下一步”。
图6 选择权限
- 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。
表1 授权范围方案 可选方案
方案说明
所有资源
授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。
指定企业项目资源
选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。
如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:开通企业项目。
指定区域项目资源
选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。
如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。
说明:不支持选择专属云DEC的区域项目。
- 单击“确定”,完成用户组授权。
步骤四:将IAM用户加入运维人员组
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”。
- 在用户组列表中,单击新建用户组“运维人员组”的名称,进入用户组详情页。
- 选择“用户管理”页签。单击“添加”。
图7 添加用户
- 勾选需要加入的用户,单击“确定”。已添加的用户将会出现在用户列表中。
步骤五:IAM用户登录控制台
- IAM用户在“IAM用户登录”页面,输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“IAM用户密码”。
图8 IAM用户登录
表2 登录信息 参数
说明
租户名/原华为云账号名
IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。
IAM用户名/邮件地址
在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道IAM用户名及初始密码,请向管理员获取。此处假设运维人员的IAM用户名为“Alice”。
IAM用户密码
IAM用户的密码,非账号密码。
- 单击“登录”,IAM用户登录华为云。
- 进入云备份控制台,对备份进行删除操作,如无法执行该操作,表示策略生效。