更新时间:2024-04-19 GMT+08:00
跨账号的资源授权与管理
A公司和B公司是华为云注册的企业用户,分别拥有自己单独的华为账号。本文主要介绍当A账号希望将部分资源委托给B账号时,使用IAM的委托功能来实现跨账号的资源授权与管理(A账号为委托方,B账号为被委托方)。
企业需求
- A账号在华为云购买了多种资源,为了专注自己的业务领域,希望将“中国-香港”区域的VPC资源委托给B账号进行代运维。
- B账号希望将A账号委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理。
- 如果合作关系发生变更,A账号希望随时可以修改或撤销对B账号的授权。
解决方案
针对以上企业需求,可以使用IAM的委托功能来实现跨账号的资源授权与管理。
- A账号在IAM控制台创建一个委托,指定委托的使用者为B账号,并将需要代运维的资源授权给这个委托。
- B账号进一步授权,将A账号委托的资源分配给账号下专职管理委托的IAM用户,让IAM用户帮助管理。
- 当合作关系发生变更时,A账号随时可以修改或者删除这个委托,B账号以及账号下可以管理该委托的用户对该委托的使用权限将自动修改或者撤销。
图1 跨账号授权模型
委托方跨账号授权
以A账号将“中国-香港”区域的VPC资源,委托给B账号进行代运维为例,说明委托方进行跨账号授权的操作方法。
- A账号登录华为云,在统一身份认证服务中,单击“委托”。
- 在“委托”页面,单击“创建委托”,设置“委托名称”,例如“VPC资源代运维”。
- “委托类型”选择“普通账号”,在“委托的账号”中填入B公司的华为账号名称,例如“B-Company”。
- 设置“持续时间”为永久。
- 单击“下一步”进入“委托授权”页面。
- 选择权限“VPC FullAccess”,单击“下一步”。
- 选择授权范围方案为“区域项目>“中国-香港””。
- 单击“确定”。
委托创建完成,委托列表中显示新创建的委托。
当合作关系发生变更时,可以在委托列表中,单击“修改”,修改这个委托的委托账号、权限、持续时间等。
被委托方跨账号管理
当A账号与B账号创建委托关系后,即B账号为被委托方,B账号通过切换角色的方法,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取A账号的华为账号名称以及所创建的委托名称。
- B账号登录华为云,进入控制台。
- 在右上方的用户名中,选择“切换角色”。
- 在“切换角色”页面中,输入委托方的账号名称,输入账号名称后,系统将会按照顺序自动匹配委托名称。
- 单击“确定”,切换至委托方A账号中。
