如何授予IAM用户不能支付订单、可以提交订单权限

问题描述

管理员需授予IAM用户可以提交购买订单，但是不能支付订单的权限。

解决方法

目前费用中心在IAM注册的系统权限无法满足管理员的需求，需要自定义策略，并将其授权给IAM用户。

前提条件

请确保您已创建IAM用户A、用户组B，并将用户A加入用户组B中。详情请参见：创建IAM用户。

操作步骤

1. 登录华为云控制台。
2. 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。
3. 在统一身份认证服务，左侧导航窗格中，选择“权限管理>权限”页签，单击右上方的“创建自定义策略”。
   图1 创建自定义策略
   

4. 输入“策略名称”为“费用中心_订单”。
   图2 选择作用范围
   

5. “策略配置方式”选择“可视化视图”。
6. 在“策略内容”下配置不能支付订单、可以提交订单的策略。
   • 配置不能支付订单的策略
     1. 选择“拒绝”。
     2. 选择“云服务”为“费用中心（BSS）”。
     3. 在“操作”下打开“写”操作，选择“bss:order:pay”授权项。
        图3 配置不能支付订单的策略
        
     4. 选择“资源类型”为“所有资源”。
   • 配置可以提交订单的策略。
     1. 选择“允许”。
     2. 选择“云服务”为“费用中心（BSS）”。
     3. 在“操作”下打开“写”操作，选择“bss:order:update”授权项，并全选只读授权项。
        图4 配置可以提交订单的策略
        
     4. 选择“资源类型”为“所有资源”。

7. 输入“策略描述”为“不能支付订单，可以提交订单的自定义策略”。
8. 单击“确定”，自定义策略创建完成。
9. 将新创建的自定义策略授予用户组B，IAM用户A具备自定义策略中的权限。
   

   给用户组授予自定义策略与系统策略操作一致，详情请参考：创建用户组并授权。

10. 设置成功后，IAM用户A登录到华为云进入“费用中心>待支付订单”，订单的操作列将不出现“支付”按钮。
    图5 设置成功
    
    图6 设置失败