更新时间:2024-07-27 GMT+08:00

创建用户组并授权

管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。详情请参见给IAM用户授权如需查看所有云服务的系统权限,请参见:权限集

前提条件

在创建用户组前,建议管理员提前了解并规划以下内容:

  • 了解权限的基本概念及分类
  • 所有使用IAM授权的云服务的系统策略,请参考:权限集

创建用户组

  1. 管理员登录IAM控制台。
  2. 在统一身份认证服务,左侧导航窗格中,选择“用户组”页签,单击右上方的“创建用户组”。
  3. 在“创建用户组”界面,输入“用户组名称”。
  4. 单击“确定”,用户组创建完成,用户组列表中显示新创建的用户组。

    您最多可以创建20个用户组,如果当前资源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何申请扩大配额?

给用户组授权

以下步骤仅适用于给用户组新增权限。如需移除权限,请参见:移除用户组权限

  1. 在用户组列表中,单击新建用户组右侧的“授权”。
  2. 在用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。

    如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略

  3. 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。

    表1 授权范围方案

    可选方案

    方案说明

    所有资源

    授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。

    指定企业项目资源

    选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。

    如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:《企业管理用户指南》。

    指定区域项目资源

    选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。

    如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。

    全局服务资源

    IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时,不需要切换区域,如对象存储服务(OBS)、内容分发网络(CDN)等。

    如果选择作用范围为“全局服务”,且所勾选的策略包含项目级服务权限,系统自动将项目权限作用范围设置为所有资源,勾选的全局服务权限的作用范围仍为全局服务。

  4. 单击“确定”,完成用户组授权。
  • 当一个用户被加入多个用户组,将会拥有所有已加入用户组的权限。

表2 常用权限

权限

需要授予的策略

权限说明

授权范围

总负责人

FullAccess

支持基于策略授权服务的所有权限

所有资源

管理资源

Tenant Administrator

除IAM外,其他所有服务的管理员权限

所有资源

查看资源

Tenant Guest

所有资源的只读权限

所有资源

管理IAM用户

Security Administrator

IAM的管理员权限

全局服务资源

计算域运维

ECS FullAccess

弹性云服务器的管理员权限

指定区域项目资源

CCE FullAccess

云容器实例管理员权限

指定区域项目资源

BMS FullAccess

裸金属服务器的管理员权限

指定区域项目资源

IMS FullAccess

镜像服务的管理员权限

指定区域项目资源

AutoScaling Admin

弹性伸缩的管理员权限

指定区域项目资源

网络域运维

VPC FullAccess

虚拟私有云的管理员权限

指定区域项目资源

ELB FullAccess

弹性负载均衡的管理员权限

指定区域项目资源

数据库运维

RDS FullAccess

云数据库的管理员权限

指定区域项目资源

DDS FullAccess

文档数据库服务的管理员权限

指定区域项目资源

DDM FullAccess

分布式数据库中间件的管理员权限

指定区域项目资源

安全领域运维

Anti-DDoS Administrator

Anti-DDoS流量清洗服务的管理员权限

指定区域项目资源

WAF Administrator

Web应用防火墙的管理员权限

指定区域项目资源

VSS Administrator

漏洞扫描服务的管理员权限

指定区域项目资源

CGS FullAccess

容器安全服务的管理员权限

指定区域项目资源

KMS Administrator

数据加密服务的管理员权限

指定区域项目资源