网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务

身份和权限管理

更新时间:2024-05-11 GMT+08:00
分享

用户和权限管理原则

华为云基于大量成功交付的项目,总结提炼了以下用户和权限管理原则:

  1. 建议使用企业自己的身份管理系统(如Azure AD等)与华为云IAM进行联邦身份认证,前者的用户通过SSO(Single Sign-on)登录到华为云控制台进行操作。企业自己的身份管理系统能更好更及时地匹配员工的入职、转岗和离职流程,避免转岗和离职人员继续拥有访问华为云的访问权限。
  2. 不要把华为云IAM作为企业自己的用户管理系统,无需与华为云发生交互的企业员工,就不用在华为云IAM上创建相应的用户或用户组。
  3. 不要将用户的密码共享给其他人,而是为每个管理或使用华为云资源的人创建一个单独的用户并分配相应的权限,这样每个自然人在华为云的操作都能被追踪审计。
  4. 建议按照IT职能来划分用户组,将对应的员工加入与其职责匹配的用户组,以下为推荐的用户组划分方式:
    • 从资源运维和管理角度,需要遵守统一管理和运维的原则以提升效率。在运维监控账号内按照运维职责创建统一管理的用户组,包括计算管理组、存储管理组、网络管理组、数据库管理组等,这些用户组负责运维和管理所有账号的云资源,支撑上层应用系统的安全稳定运行。这些用户组可以通过跨账号委托(请参考跨账号委托授权章节)的方式去运维和管理其他账号下的资源,所以在业务账号下一般不用再创建资源运维和管理的用户组。
    • 从安全防护角度,需要遵守统一安全管控的原则。在安全运营账号下创建安全管理组,一方面管理和维护安全运营账号内的安全云服务,另一方面通过跨账号委托去管理和维护部署在其他账号内的安全云服务。
    • 从应用开发角度,在DevOps账号中按照不同的应用系统创建独立的应用开发组或应用测试组,这些用户组可以通过跨账号委托访问业务账号下的开发环境或测试环境的云资源。
    • 从项目管理角度,每个企业项目都应该在华为云上创建一个项目管理组,其成员是项目经理、系统管理员,可以管理该企业项目内的所有资源,包括生产环境、开发环境和测试环境的全部资源。
    • 从财务管控角度,需要遵守统一财务管控原则,在主账号中设置一个财务管理组,负责统一管控该账号下所有组织层级和企业项目在华为云上的消费,并进行成本分析和成本优化。
    • 从全局IT治理角度,需要在主账号中设置一个IT治理组,用于创建和管理组织单元和子账号,并为其创建和管理组织策略,限定子账号的权限上限。
    • 从合规审计角度,需要遵从统一的企业合规要求,在日志账号下创建设置一个合规审计组,负责监控该账号下的资源、用户、权限和操作等是否满足企业的安全合规要求,并设计优化措施。
    • 建议为外来访客或只希望查看云资源的用户设置一个只读用户组。
  5. 遵守最小授权原则,只授予用户组完成职责所需的最小权限,如果用户组的职责产生变化,应该及时调整用户组的权限。按照最小授权原则,优先在企业项目中对用户组进行授权,如果确实需要针对账号内所有区域或特定区域的所有资源进行统一授权,则可以使用IAM项目进行授权,避免在各个企业项目中逐一授权,简化授权操作。
  6. 在企业项目中授权时,建议按照用户组而不是用户进行授权,简化授权操作。
  7. IAM账号管理员(与IAM账号同名)的权限很大,建议不要直接使用IAM账号管理员访问华为云,而是创建一个IAM用户,并按照最小授权原则授予相应的权限,以使用该IAM用户代替IAM账号管理员进行日常管理工作,保护IAM账号的安全。

用户组规划

  1. 基于上述原则,针对Landing Zone的各类账号规划以下用户组,按照最小授权原则在华为云上为这些用户组配置对应的云服务访问权限。企业自己的身份管理系统的用户组逐一映射到华为云上的这些用户组,即可拥有对应的云服务访问权限。
    图1 Landing Zone用户组规划
  2. 上述各个用户组的职责范围和权限配置建议如下表所示:
    表1 IT职能账号的用户组划分

    用户组

    账号

    职责和资源管理范围

    推荐的权限

    admin

    每个账号

    该用户组是默认生成的,拥有所有操作权限。该用户组不需要创建,也不能被删除。通常将账号所关联的组织单元的负责人加入到该组

    该用户组默认具备了所有操作权限,无需手动设置该用户组的权限

    计算管理组

    运维监控账号

    该组成员负责统一管理和运维所有的计算资源,包括云主机、物理机、K8S容器引擎、虚拟机镜像、函数工作流等,可以设置自动弹性伸缩策略

    ECS FullAccess

    BMS FullAccess

    AutoScaling FullAccess

    IMS FullAccess

    CCE FullAccess

    CCI FullAccess

    FunctionGraph Administrator

    Agent Operator

    Ticket Administrator

    存储管理组

    运维监控账号

    该组成员负责统一管理和运维所有的存储资源,包括云硬盘、对象存储、弹性文件系统等;同时负责管理备份容灾资源,如云备份、存储容灾服务等

    EVS FullAccess

    OBS Administrator

    SFS FullAccess

    SDRS Administrator

    CBR FullAccess

    DSS FullAccess

    Agent Operator

    Ticket Administrator

    网络管理组

    网络运维账号,

    运维监控账号

    该组成员负责统一管理和运维所有的网络资源,包括ER、VPC、弹性负载均衡、VPN、云专线、DNS、NAT等

    VPC FullAccess

    ELB FullAccess

    NAT FullAccess

    VPN Administrator

    DNS FullAccess

    VPCEndpoint Administrator

    Direct Connect Administrator

    CDN Administrator

    Agent Operator

    Ticket Administrator

    安全管理组

    安全管理账号,

    运维监控账号

    负责统一管理和运维所有安全云服务和资源,如应用防火墙、DDoS高仿、主机安全、数据库安全、数据加密、容器安全、云审计等

    Anti-DDoS Administrator

    CAD Administrator

    VSS Administrator

    HSS FullAccess

    DBSS Security Administrator

    KMS Administrator

    WAF FullAccess

    SCM FullAccess

    CGS FullAccess

    SA FullAccess

    CBH FullAccess

    Agent Operator

    Ticket Administrator

    数据库管理组

    运维监控账号

    该组成员负责统一管理和运维所有的数据库相关的云资源和服务,包括RDS、文档数据库、数据复制服务、数据管理服务、分布式数据库中间件等

    RDS FullAccess

    DDS FullAccess

    DRS Administrator

    DAS Administrator

    DDM FullAccess

    Agent Operator

    Ticket Administrator

    中间件管理组

    运维监控账号

    该组成员负责统一管理和运维所有的中间件相关的云资源和服务,包括微服务引擎、分布式缓存、分布式消息、API网关、ServiceStage、区块链等

    ServiceStage FullAccess

    CSE FullAccess

    DCS FullAccess

    DMS Administrator

    SMN Administrator

    APIG FullAccess

    BCS Administrator

    Agent Operator

    Ticket Administrator

    数据处理组

    数据平台账号

    该组成员负责统一管理和运维所有的大数据及AI云资源及服务,包括MapReduce、数据仓库、数据湖、实时流计算、图引擎、推荐系统、ElasticSearch、表格存储等

    ModelArts FullAccess

    MRS FullAccess

    DWS FullAccess

    DLI Service Admin

    DGC Administrator

    GES FullAccess

    Elasticsearch Administrator

    DIS Administrator

    CS FullAccess

    CloudTable Administrator

    DLF FullAccess

    RES FullAccess

    Ticket Administrator

    合规审计组

    日志账号

    该组成员负责云审计日志的管理、资源合规信息的管理以及所有云服务的安全配置信息的查阅等

    CTS Administrator

    LTS FullAccess

    RMS FullAccess

    Agent Operator

    Ticket Administrator

    日志分析组

    日志账号

    该组成员负责统一搜索、查看和分析各种日志数据

    LTS FullAccess

    OBS Administrator

    Ticket Administrator

    财务管理组

    主账号

    该组成员负责账号内的统一财务管理,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。

    BSS Finance

    Ticket Administrator

    IT治理组

    主账号

    该组成员负责统一创建和管理组织单元和子账号,并为其创建和管理组织策略

    BSS Administrator

    Ticket Administrator

    只读用户组

    每个账号

    该组成员只能访问指定的单个或多个企业项目的资源,如外来访客或者外部审计人员可以加入到该组

    Tenant Guest

    IAMReadOnlyAccess

    公共服务管理组

    公共服务账号

    该组成员负责管理所有的公共服务和资源

    部署了哪些公共服务,就授予对应云服务的FullAccess权限。

    项目管理组

    业务账号

    该组成员全权管理项目下的所有资源,包括对企业项目本身进行管理

    建议设置所参与企业项目内所有云服务的FullAccess权限

    应用开发组

    DevOps账号

    该组成员负责管理所参与开发的应用系统在开发环境的云资源

    建议设置所参与应用系统在开发环境的所有云服务的FullAccess权限

    应用测试组

    DevOps账号

    该组成员负责管理所参与测试的应用系统在测试环境的云资源

    建议设置所参与应用系统在测试环境的所有云服务的FullAccess权限

联邦认证

  1. 华为云建议使用企业自己的身份管理系统(如Azure AD等)作为IdP(Identity Provider)与华为云IAM进行联邦身份认证,前者的用户通过SSO(Single Sign-on)登录到华为云控制台进行操作。联邦认证的最佳实践如下:
    • 所有需要进行日常云上运维操作的用户均建议通过集中的联邦认证系统认证后,方允许访问云控制台。
    • 每个用户的密码必须受到强有力的安全措施的充分保护,建议在联邦认证系统上实施包括密码长度、密码复杂度、密码重置策略和增强的身份验证方法(多因素身份验证),访问IP白名单等安全策略。
    • 用户在云上的操作权限通过云用户组进行定义,并通过身份转换规则映射到联邦认证系统上的用户相关属性(例如组、角色或职责等)。
    • 建议使用用户在联邦认证系统中唯一且不变的属性作为映射字段,避免变更后对云上资源使用和审计的影响。
  2. 华为云IAM服务的“身份提供商”提供对SAMLv2协议(包括IDP-initial和SP-initial两种模式)的支持,且采用一种称为“虚拟用户SSO”的实现机制:
    • 将经过联邦认证系统认证后的用户映射到华为云的一个虚拟用户上,该虚拟用户仅在本次登录会话中按需创建,会话退出后即被销毁。
    • IAM提供身份转换规则机制,由客户的安全管理员编写规则,将每个联邦用户的属性映射到虚拟用户会话中的显示用户名和IAM用户组。
    • IAM基于虚拟用户会话的显示用户名+租户ID来生成唯一的user id,用于支持用户审计。
      图2 联邦认证流程
  3. 身份转换规则的典型例子:
    • 在IdP侧和华为云侧分别创建同名的用户组,在IdP侧将用户归集到对应的用户组,在华为云IAM为用户组设置相应的权限。
    • 使用联邦用户的First Name和Last Name属性值作为虚拟用户的显示用户名,且格式为{LastName} {FirstName}。
    • 使用联邦用户的Group属性值映射到IAM的已创建的同名用户组,例如果Group属性值为admin,则该联邦用户访问云控制台后,即对应华为云IAM的admin用户组的权限。
    图3 身份转换规则的典型例子
  4. 关于如何使用Azure AD建立与华为云的联邦认证,请参考 https://bbs.huaweicloud.com/blogs/212731

跨账号委托授权

在Landing Zone的多账号运行环境中,通常会涉及不同账号间的资源互访诉求,特别是针对安全运营、运维监控等账号下的用户需要跨账号访问其他子账号下的资源。在华为云上使用跨账号委托的机制来满足该诉求。委托时的最佳实践如下:
  • 委托是基于账号间的信任。被委托方建议通过权限管控,授权云用户去使用委托,而不是允许所有云用户都可以使用委托方创建的委托。
  • 建议对委托实施最小授权原则。
  • 委托的配置过程如下:
    1. 账号 A 在其IAM中创建一个委托将资源访问权限委托给账号B
      图4 委托的配置1
    2. 账号B再将被委托的资源访问权限授予本账号的IAM用户,由后者管理账号A中的资源。
      图5 委托的配置2
      图6 权限授予的例子如下
      注意:

      用你获得的委托IP替代上面的字符串“b36b1258b5dc41a4aa8255508xxx...” ,其他的地方不要修改。

    3. 账号 B 或者被授权的用户切换角色到账号A,即可访问和管理账号A的资源。
      图7 委托的配置4

典型场景

  1. 在Landing Zone参考架构中,专门设计了一个安全运营账号,用于统一管理企业范围内多个账号的安全资源和服务,这就需要跨账号访问部署在其他业务账号下的安全服务,比如SA、HSS等,通过以下联邦认证和跨账号委托的方式可以实现该目标。首先安全管理员通过SSO登录到安全运营账号的控制台,再通过切换角色到业务账号,然后访问和管理业务账号的安全云服务。
    图8 安全运营账号统一管理多个业务账号的安全云服务
  2. 另一个类似的场景是运维监控账号需要统一监控和运维企业范围内多个账号的资源,这也要求运维监控账号能够跨账号其他访问账号下的资源,通过以下联邦认证和跨账号委托的方式可以实现该目标。
    图9 运维监控账号统一管理各业务账号的云资源
提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容