更新时间:2022-12-08 GMT+08:00

企业项目权限说明

管理员用户权限:可以对企业项目管理页面的所有菜单项执行任意操作。

IAM用户权限:IAM用户的操作由管理员用户授权,登录企业项目管理页面后,仅显示管理员用户分配给IAM用户有权管理的企业项目信息,只能操作管理员用户分配的资源。若管理员用户为IAM用户设置了具体的权限策略,则IAM用户可以拥有策略内容中对应的权限。

管理员用户可以通过系统策略或自定义策略为IAM用户设置具体权限,目前与企业项目相关的策略主要包括EPS FullAccess、EPS ReadOnlyAccess。

在IAM侧设置和在企业管理侧设置时,权限内容不同。建议管理员结合企业需求选择IAM或是企业管理进行资源权限管理。

表1 企业管理系统权限

服务名称

权限名称

权限说明

适用的典型人员

企业管理

EPS FullAccess

  • 企业管理的管理员权限,包括企业项目以及人员管理的所有权限,可以创建企业、迁移资源、添加移除用户组,为用户组设置策略等。由管理员在IAM侧的全局服务中设置。
  • 单个企业项目的管理员权限,仅拥有指定企业项目的权限,包括修改、启用、停用、查看企业项目。可以由管理员以及具备IAM侧EPS FullAccess的用户在企业管理中设置。

企业资产管理员

EPS ReadOnlyAccess

企业项目的只读权限,拥有该权限的用户可以执行查询操作。

  • 企业管理的只读权限,可以查看所有企业项目以及用户信息。由管理员在IAM侧的全局服务中设置。
  • 单个企业项目的只读权限,可以由管理员以及具备IAM侧EPS FullAccess的用户在企业管理中设置。

企业资产查询人员

表2 常用操作与系统权限的关系

操作

EPS FullAccess

EPS ReadOnlyAccess

查看企业项目下资源

创建企业项目

×

修改企业项目

×

启用企业项目

×

停用企业项目

×

企业项目资源迁入

×

企业项目资源迁出

×

  • EPS FullAccess:对企业项目拥有所有操作权限,具体策略内容如下:
    {
       "Version": "1.1",
       "Statement": [
          { 
            "Effect": "Allow",        
            "Action": [            
                "eps:enterpriseProjects:update",        //修改企业项目
                "eps:enterpriseProjects:create",        //创建企业项目     
                "eps:enterpriseProjects:enable",        //启用企业项目
                "eps:enterpriseProjects:disable",       //停用企业项目      
                "eps:resources:list",                   //查看资源列表
                "eps:resources:add",                    //迁入资源
                "eps:resources:remove",                 //迁出资源
                "iam:groups:list",            
                "iam:policies:list",            
                "iam:enterpriseProjectGroups:combine",             
                "iam:enterpriseProjectGroups:listGroups",             
                "iam:enterpriseProjectGroups:listPolicies"         
             ]      
          }   
       ]
    }
  • EPS ReadOnlyAccess:基本查看权限,具体策略内容如下:
    {   
       "Version": "1.1",   
       "Statement": [      
          {          
            "Effect": "Allow",         
             "Action": [             
                "eps:resources:list",            
                "iam:enterpriseProjectGroups:listGroups",           
                "iam:enterpriseProjectGroups:listPolicies"         
                ]      
           }   
       ]
    }

针对已使用企业项目的IAM用户,权限可能存在变化(看不到default企业项目、无法查看资源、无法迁入迁出资源),请根据所需要的权限进行策略配置。具体操作请参见其他操作