IAM委托
通过创建委托,可以将资源共享给其他账号,或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后,切换到委托方账号,即可管理委托方委托的资源,避免委托方共享自己的安全凭证(密码/密钥)给他人,确保账号安全。
用户在使用RFS时,可以通过创建资源栈设置委托与Provider的绑定关系,通过更新资源栈更新委托与Provider的绑定关系。
RFS仅在创建资源栈(触发部署)、创建执行计划、部署资源栈、删除资源栈等涉及资源操作的请求中使用委托,且该委托仅作用于与之绑定的Provider对资源的操作中。如果委托中提供的权限不足,有可能导致相关资源操作失败。
操作步骤
- 登录统一身份认证服务控制台。
- 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。
图1 创建委托
- 在创建委托页面,设置“委托名称”。
委托给云服务RFS图2 创建委托
此处“委托名称”为用户自定义。
此处如已使用“op_svc_iac”进行注册,建议修正为云服务“RFS”。
- 单击“下一步”,进入给委托授权页面,给对应委托授权:
图3 委托授权
- 可以筛选具体权限授权给委托
图4 选择策略
具体授权给委托哪些详细权限需要用户自己决定(华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托)最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限(包括读写操作)
- 设置授权范围可以选择所有资源或选择定义region进行授权
图5 权限范围
- 单击“确定”,委托创建完成。
图6