更新时间:2024-11-05 GMT+08:00

只读用户配置权限

背景信息

如果您需要对华为云上的GaussDB(DWS)资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制云资源的访问。通过IAM,您可以在云账号中给员工创建IAM用户,并授权控制他们对云资源的访问范围。

  • 场景一:您的员工中有负责软件开发的人员,您希望他们拥有GaussDB(DWS)的使用权限,但是不希望他们拥有删除集群等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用GaussDB(DWS),但是不允许删除集群的权限,控制他们对GaussDB(DWS)资源的使用范围。
  • 场景二:您希望您的员工只有GaussDB(DWS)的资源使用权限,不希望拥有其他云资源的权限,以防止资源滥用。例如只开通GaussDB(DWS)的操作权限,不能使用其他云服务。

通过IAM权限控制,有效达到云资源访问控制,避免云资源误操作。本文将指导如何配置只读权限的IAM用户。

教程一:IAM项目视图下的只读操作

  1. 创建用户组并授权

    使用华为云账号登录IAM控制台,创建用户组,并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”

  2. 创建用户并加入用户组

    在IAM控制台创建用户,并将其加入步骤1中创建的用户组。

  3. 用户登录并验证权限。

    使用新创建的用户登录控制台,切换至授权区域,验证权限:
    • 在“服务列表”中选择数据仓库服务,进入DWS主界面,单击右上角“创建数据仓库集群”,尝试创建数据仓库集群,如果无法创建(假设当前权限仅包含DWS ReadOnlyAccess),表示“DWS ReadOnlyAccess”已生效。
    • 在“服务列表”中选择除数据仓库服务之外(假设当前策略仅包含DWS ReadOnlyAccess)的任一服务,若提示权限不足,表示“DWS ReadOnlyAccess”已生效。

教程二:企业项目下的只读操作

  1. 创建用户组并授权

    使用华为云账号登录IAM控制台,创建用户组,并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”

    • 企业项目视图下,跟资源无关的只读操作细粒度权限依旧会提示无权限访问。如事件、告警等相关接口的细粒度。

  2. 配置IAM项目视图下相关的事件与告警等只读权限。

    1. 创建如下自定义策略readonly_event_alarm:
      {
          "Version": "1.1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "dws:alarm*:list*",
                      "dws:cluster*:list*",
                      "dws:dms*:get*",
                      "dws:event*:list*"
                  ]
              }
          ]
      }
    2. 登录IAM控制台创建用户组并授权刚创建的自定义策略:

  3. 创建用户并加入用户组

    在IAM控制台创建用户,并将其加入步骤1中创建的用户组。

  4. 用户登录并验证权限。

    使用新创建的用户登录控制台,切换至授权区域,验证权限:
    • 在“服务列表”中选择数据仓库服务,进入DWS主界面,单击右上角“创建数据仓库集群”,尝试创建数据仓库集群,如果无法创建(假设当前权限仅包含DWS ReadOnlyAccess),表示“DWS ReadOnlyAccess”已生效。
    • 在“服务列表”中选择除数据仓库服务之外(假设当前策略仅包含DWS ReadOnlyAccess)的任一服务,若提示权限不足,表示“DWS ReadOnlyAccess”已生效。