IAM授权的主体
在华为云的IAM(Identity and Access Management)体系中,授权主体主要分为用户和用户组。通过与企业项目(Enterprise Project)结合,可以实现对资源的分组隔离和精细化权限控制。
IAM授权主体
类型 |
说明 |
相关链接 |
---|---|---|
用户 |
由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM不拥有资源,IAM用户的权限和资源由所属账号统一控制。
|
|
用户组 |
用户组是IAM用户的集合,利用用户组可以为多个IAM用户指定权限,使得管理IAM用户权限更加方便。
|
企业项目
企业项目是华为云提供的一种资源分组管理功能,用于将资源划分为不同的逻辑单元,实现资源的分组隔离和权限控制。
在使用IAM授权时通过将IAM授权主体(用户和用户组)与企业项目结合可以有效实现资源分组隔离和精细化的权限控制。
示例:使用企业项目对DLI资源池分组隔离,并授予不同用户组访问对应企业项目的权限。
某企业有两个项目团队A和B,项目A和项目B使用的弹性资源池和数据库不同。为了做好资源和数据的隔离,计划使用IAM实现对不同资源的权限控制,确保项目组A中的用户可以访问项目组A对应的资源,项目组B中的用户可以访问项目组B对应的资源。
- 创建企业项目并将对应的弹性资源池和数据库绑定企业项目。
创建企业项目A,将项目组A使用的资源绑定企业项目A。
创建企业项目B,将项目组B使用的资源绑定企业项目B。
- 创建用户组
创建用户组A,将项目组A中的用户加入用户组A。
创建用户组B,将项目组B中的用户加入用户组B。
- 给用户组授权
给用户组A授权,选择“设置最小的授权范围”,选择 “指定企业项目资源”选择1中创建的企业项目A。
给用户组B授权,选择“设置最小的授权范围”,选择 “指定企业项目资源”选择1中创建的企业项目B。
通过这种方式,企业可以实现资源的分组隔离和精细化权限控制,确保资源的安全性和高效利用。