文档首页 > > 用户指南> 用户组及授权> 创建用户组并授权

创建用户组并授权

分享
更新时间:2020/08/06 GMT+08:00

管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。如需查看所有云服务的系统权限,请参见:系统权限

前提条件

在创建用户组前,建议管理员提前了解并规划以下内容:

  • 了解权限的基本概念及分类
  • 规划用户组需要的权限,IAM的权限如表1所示,如需了解其他服务的权限,请参考:系统权限
  • 如果给用户组授予角色,需要确认该角色是否有依赖,如果有,需要同时设置依赖的角色,授予的角色才会生效。
表1 IAM系统角色/策略

系统角色/策略名称

授权区域

权限描述

IAM ReadOnlyAccess

全局

统一身份认证服务的只读权限,拥有对用户、用户组、策略、委托、账号安全设置等资源的查看权限,暂不包含项目和身份提供商查看权限。

Security Administrator

全局

IAM的管理员权限,可以对IAM执行所有操作,包括但不限于:

  • 创建、修改、删除IAM用户。
  • 创建、修改、删除用户组、给用户组授权。
  • 创建、修改、删除自定义策略。
  • 创建、修改项目。
  • 创建、修改、删除委托。
  • 创建、修改、删除身份提供商。
  • 设置账号安全策略。

该权限仅能管理IAM服务,不能切换角色。

Agent Operator

全局

切换角色权限,该权限不能使用IAM服务,仅能切换角色至委托方账号中,访问授权的服务。

创建用户组

  1. 登录华为云,在右上角单击“控制台”。
  2. 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。
  3. 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。

  4. 在“创建用户组”界面,输入“用户组名称”,例如“开发人员组”。

  5. 单击“确定”,用户组创建完成,用户组列表中显示新创建的用户组。

    您最多可以创建20个用户组,如果当前资源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何修改配额

给用户组授权

以下步骤仅适用于给用户组新增权限,如需移除权限,请参见:移除用户组权限

  1. 在用户组列表中,单击新建用户组“开发人员组”,右侧的“权限配置”。

  2. 在用户组权限页签中,单击列表左上方的“配置权限”。

  3. 选择作用范围。此处如选择区域级项目,则还需要在下拉框中选择需要授权的区域。

    • 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
    • 区域级项目:服务部署时通过物理区域划分,为项目级服务,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。

  4. 勾选需要授予用户组的权限,单击“确定”,完成用户组授权。

表2为常用权限,完整的权限列表请参见:系统权限

  • 当一个用户被加入多个用户组,将会拥有所有已加入用户组的权限。
表2 常用权限

权限

需要授予的策略

权限说明

所属区域

总负责人

FullAccess

支持基于策略授权服务的所有权限

全局区域

管理资源

Tenant Administrator

除IAM外,其他所有服务的管理员权限

所有区域

查看资源

Tenant Guest

所有资源的只读权限

所有区域

管理IAM用户

Security Administrator

IAM的管理员权限

全局区域

管理费用

BSS Administrator

费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。

说明:

授权时,需要授予所有区域的“BSS Administrator”权限。

除全局区域外的其他所有区域

计算域运维

ECS FullAccess

弹性云服务器的管理员权限

除全局区域外的其他所有区域

CCE FullAccess

云容器引擎的管理员权限

除全局区域外的其他所有区域

CCI FullAccess

云容器实例管理员权限

除全局区域外的其他所有区域

BMS FullAccess

裸金属服务器的管理员权限

除全局区域外的其他所有区域

IMS FullAccess

镜像服务的管理员权限

除全局区域外的其他所有区域

AutoScaling FullAccess

弹性伸缩的管理员权限

除全局区域外的其他所有区域

网络域运维

VPC FullAccess

虚拟私有云的管理员权限

除全局区域外的其他所有区域

ELB FullAccess

弹性负载均衡的管理员权限

除全局区域外的其他所有区域

数据库运维

RDS FullAccess

云数据库的管理员权限

除全局区域外的其他所有区域

DDS FullAccess

文档数据库服务的管理员权限

除全局区域外的其他所有区域

DDM FullAccess

分布式数据库中间件的管理员权限

除全局区域外的其他所有区域

安全领域运维

Anti-DDoS Administrator

Anti-DDoS流量清洗服务的管理员权限

除全局区域外的其他所有区域

CAD Administrator

DDoS高防服务的管理员权限

除全局区域外的其他所有区域

WAF Administrator

Web应用防火墙的管理员权限

除全局区域外的其他所有区域

VSS Administrator

漏洞扫描服务的管理员权限

除全局区域外的其他所有区域

CGS Administrator

容器安全服务的管理员权限

除全局区域外的其他所有区域

KMS Administrator

数据加密服务的管理员权限

除全局区域外的其他所有区域

DBSS System Administrator

数据库安全服务的管理员权限

除全局区域外的其他所有区域

SES Administrator

安全专家服务的管理员权限

除全局区域外的其他所有区域

SC Administrator

SSL证书管理服务的管理员权限

除全局区域外的其他所有区域

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问