权限管理
本章节介绍如何针对您在华为云上购买的MCP资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离。如果您在华为云注册的帐号已经能满足需求,不需要给员工创建独立的访问凭证和权限,您可以跳过本章节,不影响您使用MCP服务的其它功能。
您可以使用统一身份认证服务(Identity and Access Management,简称IAM)在帐号中给员工创建独立的IAM用户,授权控制他们对华为云资源的访问范围,员工即可使用IAM用户名和密码登录华为云,并按照权限使用帐号中的资源。
IAM是华为云提供权限管理的基础服务,无需付费即可使用。关于IAM的详细介绍,请参见IAM产品介绍。
MCP权限
默认情况下,新创建的IAM用户没有任何权限,管理员需要在IAM控制台为其授予权限。授权后,用户就可以基于被授予的权限对云服务进行操作。
如您需要创建IAM用户来使用MCP,请先用华为云帐号为当前区域下的MCP服务授权,参见给MCP授权。
如表1所示,包括了MCP依赖的所有系统角色。由于华为云各服务之间存在业务交互关系,多云容器平台依赖其他服务的角色实现功能,因此在使用多云容器平台时,需要为IAM用户授予依赖的其他角色,多云容器平台才能正常使用。
角色名称 |
描述 |
依赖关系 |
|---|---|---|
CCE Administrator |
具有CCE集群及集群下所有资源(包含集群、节点、工作负载、任务、服务等)的读写权限。 |
拥有该权限的用户必须同时拥有以下权限: 全局服务:OBS Buckets Viewer、OBS Administrator。 区域级项目:Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、APM FullAccess。 |
VPC Administrator |
虚拟私有云的大部分操作权限,不包括创建、修改、删除、查看安全组以及安全组规则。 |
依赖Tenant Guest角色,拥有该权限的用户必须同时拥有Tenant Guest权限。 |
