更新时间:2025-09-01 GMT+08:00
分享

IAM授权的主体

在华为云的IAM(Identity and Access Management)体系中,授权主体主要分为用户用户组。通过与企业项目(Enterprise Project)结合,可以实现对资源的分组隔离和精细化权限控制。

IAM授权主体

表1 IAM授权主体

类型

说明

相关链接

用户

由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM不拥有资源,IAM用户的权限和资源由所属账号统一控制。

  • 用户可以被分配具体的权限策略,定义其对资源的操作范围。
  • 用户可以被加入到用户组中,继承用户组的权限。
  • 用户可以与企业项目结合,实现更细粒度的权限管理。

IAM用户概述

用户组

用户组是IAM用户的集合,利用用户组可以为多个IAM用户指定权限,使得管理IAM用户权限更加方便。

  • 用户组可以被分配统一的权限策略,所有组内的用户自动继承这些权限。
  • 用户组可以与企业项目结合,实现对资源的分组隔离和权限控制。
  • 用户组支持层级管理,可以创建嵌套的用户组结构,进一步细化权限管理。

用户组概述

企业项目

企业项目是华为云提供的一种资源分组管理功能,用于将资源划分为不同的逻辑单元,实现资源的分组隔离和权限控制。

在使用IAM授权时通过将IAM授权主体(用户和用户组)与企业项目结合可以有效实现资源分组隔离和精细化的权限控制。

示例:使用企业项目对DLI资源池分组隔离,并授予不同用户组访问对应企业项目的权限。

某企业有两个项目团队A和B,项目A和项目B使用的弹性资源池和数据库不同。为了做好资源和数据的隔离,计划使用IAM实现对不同资源的权限控制,确保项目组A中的用户可以访问项目组A对应的资源,项目组B中的用户可以访问项目组B对应的资源。

  1. 创建企业项目并将对应的弹性资源池和数据库绑定企业项目。

    创建企业项目A,将项目组A使用的资源绑定企业项目A。

    创建企业项目B,将项目组B使用的资源绑定企业项目B。

  2. 创建用户组

    创建用户组A,将项目组A中的用户加入用户组A。

    创建用户组B,将项目组B中的用户加入用户组B。

  3. 给用户组授权

    给用户组A授权,选择“设置最小的授权范围”,选择 “指定企业项目资源”选择1中创建的企业项目A。

    给用户组B授权,选择“设置最小的授权范围”,选择 “指定企业项目资源”选择1中创建的企业项目B。

通过这种方式,企业可以实现资源的分组隔离和精细化权限控制,确保资源的安全性和高效利用。

相关文档