更新时间:2022-04-01 GMT+08:00
分配委托权限(被委托方操作)
当其他账号与您创建了委托关系,即您是被委托方,您可以将管理委托的权限分配给子用户,让子用户帮助您管理委托。如果一个账号与您创建了多个委托关系,您可以授权子用户管理所有的委托;如果您需要将多个委托授权给不同的子用户,即子用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托,您可以创建委托的自定义策略,授权子用户管理特定的委托。
前提条件
- 已有账号与您创建了委托关系。
- 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。
操作步骤
- 创建自定义策略。
- 如果您需要用户仅管理指定委托,请执行以下步骤对委托进行细粒度授权。
- 如果您需要用户管理所有委托,请跳过该步骤,直接执行2。
- 在统一身份认证服务左侧导航窗格中,单击“策略”。
- 在“策略”界面,单击“创建自定义策略”。
- 输入“策略名称”。
- “作用范围”选择“全局级服务”。
- “策略配置方式”选择“JSON视图”。
- 在“策略信息”区域,填入以下内容:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
- "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,其他内容不需修改,直接拷贝即可。
- 本文简要讲述快速完成委托细粒度授权的必要操作,更多细粒度策略内容,详情请参考管理细粒度策略。
- 单击“确定”。
- 创建用户组并授权。
- 在统一身份认证服务左侧导航窗格中,单击“用户组”。
- 在“用户组”界面中,单击“创建用户组”。
- 输入“用户组名称”。
- 单击“确定”。
返回用户组列表,用户组列表中显示新创建的用户组。
- 单击新建用户组右侧的“修改”。
- 在“用户组权限”区域中,单击“全局”项目右侧的“修改”。
- 选择1中创建的策略或者“Agent Operator”权限。
- 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
- “Agent Operator”权限:用户可以切换角色并访问委托方账号中的资源。
- 单击“确定”。
- 创建用户并加入用户组。
- 在统一身份认证服务左侧导航窗格中,单击“用户”
- 在“用户”界面,单击“创建用户”。
- 在“创建用户”界面,输入“用户信息”,选择“访问方式”,单击“下一步”。
- 在“可选择的用户组”中,选择2创建的用户组。
- 单击“创建用户”。
后续操作
单击右上角切换的委托账号,选择“切换角色”,可以返回到您的账号。
父主题: 管理委托