更新时间:2024-03-12 GMT+08:00

权限管理

  • 此处的权限管理是指通过使用统一身份认证服务(Identity and Access Management,简称IAM)控制云服务和资源的访问权限。
  • 云应用属于区域级项目,您可以创建多个IAM用户组,并授予他们不同项目的云应用(云桌面)管理员权限,控制用户对云应用资源的访问范围。
  • 如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用云应用服务。

相关概念

IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》

帐号

当您首次使用华为云时注册的帐号,该帐号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。帐号统一接收所有IAM用户进行资源操作时产生的费用账单。

帐号不能在IAM中修改和删除,您可以在帐号中心修改帐号信息,如果您需要删除帐号,可以在帐号中心进行注销。

IAM用户

由帐号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据帐号授予的权限使用资源。IAM用户不进行独立的计费,由所属账户统一付费。

用户组

用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。

“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

举例说明

例如您希望a、b两组员工之间的权限隔离,即a组员工使用区域一项目云应用资源、b组员工使用区域二项目云应用资源。

  1. 您可以创建A、B两个用户组并授权,即将用户组A赋予区域一项目中云应用的管理员权限,将用户组B赋予区域二中云应用的管理员权限。
  2. 再创建两个IAM用户user1、user2,并将IAM用户user1加入用户组A,将IAM用户user2加入用户组B。此时IAM用户user1即拥有区域一项目云应用管理员权限,IAM用户user2拥有区域二项目云应用管理员权限。
  3. a组员工的管理员可以使用IAM用户user1的帐号登录华为云,进入区域一项目的云应用控制台页面,为a组员工发布应用,并对区域一项目中的云应用进行管理。b组员工的管理员可以使用IAM用户user2的帐号登录华为云,进入区域二项目的云应用控制台页面,为b组员工发布应用,并对区域二项目中的云应用进行管理。操作流程如图1所示。IAM用户创建请参见创建IAM用户
图1 操作示意图

云应用服务管理员权限

默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云应用管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对应用资源进行操作。

表1所示,包括了云应用(云桌面)的所有系统权限以及依赖服务所需的操作权限。其中“依赖关系”表示对应服务的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云应用(云桌面)的角色依赖其他服务的角色实现功能。因此给用户组授予云应用的权限时,需选择如表1所示权限,且请勿取消已默认选择的其他依赖权限,否则云应用的权限将无法生效。

表1 云应用(云桌面)系统权限

系统权限

描述

依赖关系

Workspace Administrator

云应用(云桌面)服务的管理员权限,即拥有云应用(云桌面)服务下的所有执行权限。

依赖Tenant Guest、Server Administrator、VPC Administrator角色。

  • Tenant Guest:全部云服务只读权限(除IAM权限)。
  • Server Administrator:服务器管理员。
  • VPC Administrator:网络管理员。

IMS Administrator

镜像服务的所有执行权限。

该角色有依赖,需要勾选依赖的角色:Tenant Administrator。

创建IAM用户使用云应用

  1. 创建用户组并授权

    在IAM控制台创建用户组,并授予该用户组如表1中所示的“Workspace Administrator”、“IMS Administrator”和“ECS FullAccess”权限,并选择授权范围。

  2. 创建用户并加入用户组

    在IAM控制台创建用户,并将其加入1中创建的用户组。

  3. 用户登录并验证权限

    新创建的用户登录控制台,验证云应用的管理员权限。

    1. 进入云应用的管理控制台
    2. 选择“同意授权”,进入云应用服务主界面。

      云应用提供了弹性扩容特性,需要获取用户授权,用于创建委托帐号,便于用户在启用弹性扩容特性后,系统能自动进行扩缩容。

    3. 开通服务后,单击“服务器组”,进入服务器组列表页面,单击右上角“创建服务器组”,若没有提示权限不足,表示赋予的权限已生效。