更新时间:2024-04-15 GMT+08:00

创建用户组并授权

管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。详情请参见给IAM用户授权如需查看所有云服务的系统权限,请参见:权限集

前提条件

在创建用户组前,建议管理员提前了解并规划以下内容:

  • 了解权限的基本概念及分类
  • 所有使用IAM授权的云服务的系统策略,请参考:权限集

创建用户组

  1. 管理员登录IAM控制台。
  2. 在统一身份认证服务,左侧导航窗格中,选择“用户组”页签,单击右上方的“创建用户组”。
  3. 在“创建用户组”界面,输入“用户组名称”。
  4. 单击“确定”,用户组创建完成,用户组列表中显示新创建的用户组。

    您最多可以创建20个用户组,如果当前资源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何申请扩大配额?

给用户组授权

以下步骤仅适用于给用户组新增权限。如需移除权限,请参见:移除用户组权限

  1. 在用户组列表中,单击新建用户组右侧的“授权”。
  2. 在用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。

    如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略

  3. 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。

    表1 授权范围方案

    可选方案

    方案说明

    所有资源

    授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。

    指定企业项目资源

    选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。

    如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:《企业管理用户指南》。

    指定区域项目资源

    选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。

    如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。

    全局服务资源

    IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时,不需要切换区域,如对象存储服务(OBS)、内容分发网络(CDN)等。

    如果选择作用范围为“全局服务”,且所勾选的策略包含项目级服务权限,系统自动将项目权限作用范围设置为所有资源,勾选的全局服务权限的作用范围仍为全局服务。

  4. 单击“确定”,完成用户组授权。