文档首页/ 云容器实例 CCI/ 用户指南/ 权限管理/ 委托联邦用户管理资源
更新时间:2024-05-23 GMT+08:00

委托联邦用户管理资源

如果您需要将账号A的资源委托给账号B的联邦用户进行管理。首先您可以登录账号A,为账号B创建委托并授予命名空间权限。接下来登录账号B,与账号B做联邦身份认证,认证完成后,账号B将委托权限分配给联邦用户,使得联邦用户可以切换为账号A的委托。最后以联邦用户的身份登录到华为云,切换角色之后,就可以管理账号A中的资源。

本章节为您介绍委托联邦用户管理资源的方法,操作流程如图1所示。

图1 委托联邦用户管理资源流程

操作步骤

账号A委托账号B以联邦用户的身份管理账号A中的资源,需要完成以下步骤:

  1. 创建委托(委托方操作)

    登录委托方(账号A)IAM控制台创建委托,需要填写被委托方(账号B)的账号名称,并授予被委托方(账号B)云容器实例所有权限“CCI FullAccess”,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。

  2. 为委托账号授权命名空间权限(委托方操作)

    进入委托方(账号A)的CCI控制台,在权限管理页面为被委托方(账号B)授予命名空间下资源的权限,通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。

  3. 联邦身份认证(被委托方操作)

    登录被委托方(账号B),在被委托方(账号B)中进行联邦身份认证操作。

    在委托联邦用户管理资源之前,需对被委托方进行联邦身份认证,联邦身份认证过程主要分为两步:建立互信关系并创建身份提供商和在华为云配置身份转换规则。

    创建身份提供商时,会创建出默认的身份转换规则,用户需要单击“编辑规则”将默认的身份转换规则更新掉,或者将默认的身份转换规则删除,重新创建新的规则。如果默认的身份转换规则在没有删掉的情况下直接添加新规则,可能会匹配上这条默认规则,添加的新规则就会不生效。

  4. 分配委托权限(被委托方操作)

    如果被委托方(账号B)下的子用户想要切换委托,就必须由被委托方(账号B)分配委托权限。因此,为了使得联邦用户拥有管理委托方(账号A)资源的权限,就需要被委托方(账号B)授予联邦用户所在用户组(federation_group)自定义策略“federation_agency”。“federation_group”用户组为联邦用户所在的用户组,也是配置身份转换规则时,写入规则中的联邦用户组。

  5. 切换角色(被委托方操作)

    账号B以及分配了委托权限的联邦用户,可以切换角色至委托方账号A中,根据权限管理委托方的资源。