更新时间:2022-04-01 GMT+08:00

分配委托权限(被委托方操作)

当其他账号与您创建了委托关系,即您是被委托方,您可以将管理委托的权限分配给子用户,让子用户帮助您管理委托。如果一个账号与您创建了多个委托关系,您可以授权子用户管理所有的委托;如果您需要将多个委托授权给不同的子用户,即子用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托,您可以创建委托的自定义策略,授权子用户管理特定的委托。

前提条件

  • 已有账号与您创建了委托关系。
  • 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。

操作步骤

  1. 创建自定义策略。

    • 如果您需要用户仅管理指定委托,请执行以下步骤对委托进行细粒度授权。
    • 如果您需要用户管理所有委托,请跳过该步骤,直接执行2
    1. 在统一身份认证服务左侧导航窗格中,单击“策略”
    2. “策略”界面,单击“创建自定义策略”
    3. 输入“策略名称”
    4. “作用范围”选择“全局级服务”
    5. “策略配置方式”选择“JSON视图”
    6. “策略信息”区域,填入以下内容:
      {
              "Version": "1.1",
              "Statement": [
                      {
                              "Action": [
                                      "iam:agencies:assume"
                              ],
                              "Resource": {
                                      "uri": [
                                              "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..."
                                      ]
                              },
                              "Effect": "Allow"
                      }
              ]
      }
      • "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,其他内容不需修改,直接拷贝即可。
      • 本文简要讲述快速完成委托细粒度授权的必要操作,更多细粒度策略内容,详情请参考管理细粒度策略
    7. 单击“确定”

  2. 创建用户组并授权。

    1. 在统一身份认证服务左侧导航窗格中,单击“用户组”
    2. “用户组”界面中,单击“创建用户组”
    3. 输入“用户组名称”
    4. 单击“确定”

      返回用户组列表,用户组列表中显示新创建的用户组。

    5. 单击新建用户组右侧的“修改”
    6. “用户组权限”区域中,单击“全局”项目右侧的“修改”
    7. 选择1中创建的策略或者“Agent Operator”权限。
      • 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
      • “Agent Operator”权限:用户可以切换角色并访问委托方账号中的资源。
    8. 单击“确定”

  3. 创建用户并加入用户组。

    1. 在统一身份认证服务左侧导航窗格中,单击“用户”
    2. “用户”界面,单击“创建用户”
    3. “创建用户”界面,输入“用户信息”,选择“访问方式”,单击“下一步”。
    4. “可选择的用户组”中,选择2创建的用户组。
    5. 单击“创建用户”

后续操作

单击右上角切换的委托账号,选择“切换角色”,可以返回到您的账号。