更新时间:2024-07-26 GMT+08:00
(可选)分配委托权限(被委托方操作)
当其他账号与您创建了委托关系,即您是被委托方,默认情况下只有较大权限的用户(账号本身以及admin用户组中的成员)可以管理委托资源,如果您需要普通IAM用户帮助您管理委托,可以将管理委托的权限分配给IAM用户。
如果您有多个委托关系,可以授予IAM用户较大的委托权限,即管理所有的委托,也可以授予IAM用户精细的权限,仅管理指定的委托,即IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托,您可以创建细粒度的委托权限,授权IAM用户管理指定的委托。
前提条件
- 已有其他账号与您创建了委托关系。
- 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。
操作步骤
- 创建自定义策略。
如果需要授予IAM用户精细的委托权限,仅管理指定的委托,请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权,授予IAM用户管理所有的委托权限,请跳过该步骤,直接执行2。
- 在权限界面,单击“创建自定义策略”。
- 输入“策略名称”。
- “策略配置方式”选择“JSON视图”。
- 在“策略内容”区域,填入以下内容:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
- "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。
- 本文简要讲述快速完成委托细粒度授权的必要操作,更多权限内容,详情请参考权限管理。
- 单击“确定”,自定义策略创建完成。
- 创建用户组并授权。
- 在用户组界面,单击“创建用户组”。
- 输入“用户组名称”。
- 单击“确定”,用户组创建完成。
- 单击新建用户组右侧的“权限配置”。
- 在权限管理页签中,单击列表左上方的“配置权限”。
- 选择权限的作用范围。此处如选择区域级项目,则还需要在下拉框中选择需要授权的区域。
- 选择1中创建的自定义策略或者“Agent Operator”权限。
- 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
- “Agent Operator”权限:用户可以管理所有委托。
- 单击“确定”,用户组授权完成。
- 创建IAM用户并加入用户组。
- 在用户界面,单击“创建用户”。
- 在创建用户界面,输入用户信息。
- “访问方式”选择“管理控制台访问”中的“首次登录时设置”。
- “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。
- 在“可选用户组”中,选择2中新创建的用户组,单击“下一步”。
- 完成IAM用户创建。
分配委托权限操作完成,新创建的IAM用户可以通过切换角色至委托方账号中,帮助您管理委托资源。
后续操作
被委托方账号或分配了委托权限的IAM用户均可以切换角色至委托方账号中,查看并根据权限使用委托资源。
父主题: 委托其他账号管理资源