如果您需要在华为云上使用费用中心,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云的访问。如果华为账号已经能满足您的要求,不需要通过IAM对用户进行权限管理,您可以跳过本章节,不影响您使用费用中心的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。
通过IAM,您可以通过授权控制他们对华为云的访问范围。例如您的员工中有负责财务的人员,您希望他们拥有费用中心的查看权限,但是不希望他们拥有支付订单的权限,那么您可以使用IAM进行权限分配,通过授予用户仅能查看费用中心,但是不能管理费用中心的权限,控制他们对费用中心的使用范围。
目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
表1 策略授权介绍
|
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
|
角色与策略授权 |
用户-权限-授权范围 |
|
为主体授予角色或策略 |
核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 |
|
身份策略授权 |
用户-策略 |
|
|
核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。角色与策略授权管理和身份策略权限管理分别介绍两种模型的系统权限。
关于IAM的详细介绍,请参见IAM产品介绍。
角色与策略授权管理
费用中心支持角色与策略授权。默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对费用中心进行操作。
如表2所示,包括了费用中心的所有系统权限。角色与策略授权场景的系统策略和身份策略授权场景的并不互通。
表2 费用中心系统权限
|
系统角色/策略名称 |
描述 |
类别 |
依赖关系 |
|
BSS Administrator |
费用中心(BSS)管理员,拥有该服务下的所有权限。 |
系统角色 |
无 |
|
BSS ReadonlyAccess |
费用中心、成本中心、消息中心的只读权限。 |
系统策略 |
无 |
|
BSS FinanceAccess |
财务相关的操作权限,可以提供支付、消费、发票、成本等财务相关功能,不包括云服务的变更(如退订资源,硬件退换货等)功能。一般为财经人员使用。 |
系统策略 |
无 |
|
BSS ServiceAgencyCreatePolicy |
服务委托的创建权限,用于包年/包月订单开通云服务资源的服务委托创建。 |
系统策略 |
无 |
|
BSS ServiceAgencyReadPolicy |
服务委托信息的读取权限,用于包年/包月订单开通云服务资源的服务委托信息获取。 |
系统策略 |
无 |
表 常用操作与系统权限的关系列出了费用中心常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
表3 常用操作与系统权限的关系
|
操作 |
BSS Administrator |
BSS ReadonlyAccess |
BSS FinanceAccess |
|
修改密码、应用行业、联系信息、首选项、合作伙伴等 |
√ |
× |
× |
|
查看账户信息 |
√ |
√ |
√ |
|
充值、提现、欠费还款等 |
√ |
× |
√ |
|
查看订单信息 |
√ |
√ |
√ |
|
订单支付 |
√ |
× |
√ |
|
下单、取消订单、修改收货地址 |
√ |
× |
√ |
|
查看续费管理信息 |
√ |
× |
√ |
|
续费、设置自动续费、设置到期策略、按需转包年/包月、释放资源 |
√ |
× |
√ |
|
查看可退订资源、退订资源、取消发货、硬件退换货 |
√ |
× |
× |
|
申请发票、查看信息 |
√ |
× |
√ |
|
查看开票记录,发票详情 |
√ |
× |
× |
|
导出发票信息,下载发票 |
√ |
× |
× |
|
修改合同商务信息 |
√ |
× |
√ |
|
查看优惠券、现金券、储值卡代金券 |
√ |
√ |
√ |
|
查看折扣、价格信息 |
√ |
× |
× |
|
查看账单、用量明细、收支以及总览页面的费用走势 |
√ |
√ |
√ |
|
导出账单、用量明细、收支 |
√ |
× |
√ |
|
查看消费明细、资源消费、账单分析、付款历史记录 |
√ |
√ |
√ |
|
导出消费明细、资源消费、账单分析、付款历史记录 |
√ |
× |
√ |
|
查看企业项目消耗分析 |
√ |
√ |
√ |
|
导出企业项目消耗分析 |
√ |
× |
√ |
|
开通/关闭企业项目功能 |
√ |
√ |
× |
|
开通/关闭企业项目资金配额功能 |
√ |
× |
√ |
|
查看企业项目资金配额页面 |
√ |
√ |
√ |
|
调整企业项目资金配额大小 |
√ |
× |
√ |
|
查询企业项目资金配额调整记录 |
√ |
√ |
√ |
|
修改企业项目群 |
√ |
× |
× |
|
查看企业项目群 |
√ |
√ |
√ |
身份策略权限管理
费用中心支持身份策略授权。如表4所示,包括了费用中心身份策略中的所有系统身份策略。身份策略授权场景的系统身份策略和角色与策略授权场景的并不互通。
表4 费用中心系统身份策略
|
系统身份策略名称 |
描述 |
策略类别 |
|
BILLINGFullAccessPolicy |
费用中心、账号中心、成本中心、企业中心、消息中心的所有执行权限。一般为管理员使用。 |
系统身份策略 |
|
BILLINGOperatorPolicy |
拥有费用中心、账号中心、成本中心、企业中心、消息中心的查询权限,可以对云服务做变更、管理、使用信息等查看处理,不提供财务相关功能。一般为开发人员、运维人员等技术使用。 |
系统身份策略 |
|
BILLINGFinancePolicy |
财务相关的操作权限,可以提供支付、消费、发票、成本等财务相关功能,不提供云服务的变更等功能。一般为财经人员使用。 |
系统身份策略 |
|
BILLINGAgencyCreatePolicy |
服务委托的创建权限,用于包年/包月订单开通云服务资源的服务委托创建。 |
系统身份策略 |
表5列出了费用中心常用操作与系统身份策略的授权关系,您可以参照该表选择合适的系统身份策略。
表5 常用操作与系统身份策略的关系
|
操作 |
BILLINGFullAccessPolicy |
BILLINGOperatorPolicy |
BILLINGFinancePolicy |
|
提现,充值/还款,汇款认领,余额预警、 |
√ |
× |
√ |
|
收支明细查询,付款历史记录查询,消费配额查询,欠费信息查询 |
√ |
× |
√ |
|
收支明细导出,付款历史记录导出 |
√ |
√ |
√ |
|
账单操作,账单数据存储 |
√ |
√ |
√ |
|
账单查询,累计剩余应还金额查询,未还清账单查询,本月消费查询,近7天扣费资源查询,消费走势查询 |
√ |
√ |
√ |
|
账单导出 |
√ |
√ |
√ |
|
账单明细操作:自定义账单明细列表,查询维度设置等 |
√ |
√ |
√ |
|
账单明细查看 |
√ |
√ |
√ |
|
账单明细导出 |
√ |
√ |
√ |
|
资源包总览,资源包列表,剩余量汇总,使用明细查询/导出 |
√ |
√ |
√ |
|
资源包剩余量预警设置 |
√ |
√ |
√ |
|
申请合同 |
√ |
√ |
√ |
|
查看优惠券、储值卡,激活代金券 |
√ |
√ |
√ |
|
购买储值卡 |
√ |
× |
√ |
|
查看商务折扣 |
√ |
× |
× |
|
发票管理:索取发票、管理发票抬头和管理收件地址 |
√ |
× |
√ |
|
查看开票记录和发票详情 |
√ |
× |
× |
|
导出发票信息和下载发票 |
√ |
× |
× |
|
支付订单 |
√ |
× |
√ |
|
查看订单 |
√ |
√ |
√ |
|
操作续费 |
√ |
× |
√ |
|
查看续费 |
√ |
× |
√ |
|
操作退订 |
√ |
√ |
× |
|
查看企业项目消耗分析 |
√ |
√ |
√ |
|
开通企业项目功能 |
√ |
× |
× |
|
开通/关闭企业项目资金配额功能 |
√ |
× |
√ |
|
查看企业项目资金配额页面 |
√ |
√ |
√ |
|
调整企业项目资金配额大小 |
√ |
× |
√ |
|
查询企业项目资金配额调整记录 |
√ |
√ |
√ |
|
修改企业项目群 |
√ |
√ |
× |
|
查看企业项目群 |
√ |
√ |
√ |
