文档首页/ 云原生服务中心 OSC/ 常见问题/ 权限配置/ 单租户下如何使用IAM系统策略对各IAM子用户进行细粒度权限划分
更新时间:2024-06-12 GMT+08:00
分享

单租户下如何使用IAM系统策略对各IAM子用户进行细粒度权限划分

当华为云租户需要对各IAM用户进行细粒度权限控制时,要使用到IAM策略。关于策略的详细介绍参见IAM权限管理文档。OSC作为UCS的子服务,其细粒度权限的划分包括UCS FullAccess和UCS ReadOnlyAccess两个系统策略。

其中UCS FullAccess系统策略包含OSC所有接口的使用权限,UCS ReadOnlyAccess系统策略包含OSC所有Read、List接口的使用权限。授予子用户某个系统策略的操作步骤与单租户下多IAM用户使用企业仓库场景如何配置权限?的操作步骤相同,只需在6勾选两个系统策略之一即可:

需要注意的是, UCS FullAccess、UCS ReadOnlyAccess权限与CCE集群中Kubernetes资源权限相互独立。所以在涉及到CCE集群中资源的操作(如创建服务实例、查询服务实例)中,需要前往CCE管理页面进行单独授权。一般情况下,参见CCE授予集群全部权限文档进行权限授予即可。

另外,出于用户数据安全的考虑,UCS FullAccess系统策略中默认不包含OBS和SWR权限的授予。所以对于ISV账户,如果其管理的某个IAM子用户需要进行商品发布的操作,除UCS FullAccess之外,还需要额外给该子用户授予OBS Administrator系统策略。

如果其管理的某个IAM子用户需要使用容器镜像仓库(普通版,非企业版)进行私有服务的上传操作,除UCS FullAccess之外,还需要前往容器镜像服务-组织管理页面,为该子用户添加osc组织的管理权限:

相关文档