更新时间:2024-02-19 GMT+08:00

使用资源栈集

要为创建具有服务托管的资源栈集设置必要的权限。

您需要先通过在各个账户中创建IAM角色以在管理员和目标账户之间建立信任关系,然后才能创建具有自助服务权限的资源栈集。

  1. 确定哪个华为云账户是管理员账户

    资源栈集是在该管理员账户中创建的。目标账户是在其中创建属于资源栈集的各个堆栈的账户。

  2. 确定您要如何为资源栈集构建权限。

    利用最简单的(也是最宽松的)权限配置,您可以允许管理员账户中的用户创建和更新通过该账户管理的资源栈集。如果您需要更精细地控制用户通过管理员账户创建资源栈集,您可以使用在IAM委托中进一步对所需要创建的资源进行授权管理。委托创建可参照创建委托及授权方式

    1. 为管理员账户的用户设置权限以在所有目标账户中执行资源栈集操作

      在管理员账户中,创建一个名为“Administrator_account”(此委托名为自定义)的委托,并委托给云服务RFS。该委托中添加iam:tokens:assume和Tenant Administrator权限。

      在目标账户中,创建一个名为“Target_Account”(此委托名为自定义)的委托,委托给账户“管理员账户的账户名”并授予权限 Tenant Administrator。

    2. 为资源栈集操作设置高级权限

      在管理员账户中,创建一个名为“Administrator_account”(此委托名为自定义)的委托,并委托给云服务RFS。使用服务的细粒度鉴权,在委托中添加iam:tokens:assume和需要指定的可以操作的权限。

      在目标账户中,创建一个名为“Target_Account”(此委托名为自定义)的委托,委托给账户“管理员账户的账户名”并授予目标账户支持操作的资源权限。