创建用户组并授权
管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。如需查看所有云服务的系统权限,请参见:系统权限。
前提条件
在创建用户组前,建议管理员提前了解并规划以下内容:
- 了解权限的基本概念及分类。
- 规划用户组需要的权限,IAM的权限如表1所示,如需了解其他服务的权限,请参考:系统权限。
- 如果给用户组授予角色,需要确认该角色是否有依赖,如果有,需要同时设置依赖的角色,授予的角色才会生效。
系统角色/策略名称 |
授权区域 |
权限描述 |
|---|---|---|
IAM ReadOnlyAccess |
全局 |
统一身份认证服务的只读权限,拥有对用户、用户组、策略、委托、账号安全设置等资源的查看权限,暂不包含项目和身份提供商查看权限。 |
Security Administrator |
全局 |
IAM的管理员权限,可以对IAM执行所有操作,包括但不限于:
该权限仅能管理IAM服务,不能切换角色。 |
Agent Operator |
全局 |
切换角色权限,该权限不能使用IAM服务,仅能切换角色至委托方账号中,访问授权的服务。 |
创建用户组
- 登录华为云,在右上角单击“控制台”。
- 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。
- 在“创建用户组”界面,输入“用户组名称”,例如“开发人员组”。
- 单击“确定”,用户组创建完成,用户组列表中显示新创建的用户组。
给用户组授权
以下步骤仅适用于给用户组新增权限,如需移除权限,请参见:移除用户组权限。
- 在用户组列表中,单击新建用户组“开发人员组”,右侧的“权限配置”。
- 在用户组权限页签中,单击列表左上方的“配置权限”。
- 选择作用范围。此处如选择区域级项目,则还需要在下拉框中选择需要授权的区域。
- 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
- 区域级项目:服务部署时通过物理区域划分,为项目级服务,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
- 勾选需要授予用户组的权限,单击“确定”,完成用户组授权。
权限 |
需要授予的策略 |
权限说明 |
所属区域 |
|---|---|---|---|
总负责人 |
FullAccess |
支持基于策略授权服务的所有权限 |
全局区域 |
管理资源 |
Tenant Administrator |
除IAM外,其他所有服务的管理员权限 |
所有区域 |
查看资源 |
Tenant Guest |
所有资源的只读权限 |
所有区域 |
管理IAM用户 |
Security Administrator |
IAM的管理员权限 |
全局区域 |
管理费用 |
BSS Administrator |
费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。
说明:
授权时,需要授予所有区域的“BSS Administrator”权限。 |
除全局区域外的其他所有区域 |
计算域运维 |
ECS FullAccess |
弹性云服务器的管理员权限 |
除全局区域外的其他所有区域 |
CCE FullAccess |
云容器引擎的管理员权限 |
除全局区域外的其他所有区域 |
|
CCI FullAccess |
云容器实例管理员权限 |
除全局区域外的其他所有区域 |
|
BMS FullAccess |
裸金属服务器的管理员权限 |
除全局区域外的其他所有区域 |
|
IMS FullAccess |
镜像服务的管理员权限 |
除全局区域外的其他所有区域 |
|
AutoScaling FullAccess |
弹性伸缩的管理员权限 |
除全局区域外的其他所有区域 |
|
网络域运维 |
VPC FullAccess |
虚拟私有云的管理员权限 |
除全局区域外的其他所有区域 |
ELB FullAccess |
弹性负载均衡的管理员权限 |
除全局区域外的其他所有区域 |
|
数据库运维 |
RDS FullAccess |
云数据库的管理员权限 |
除全局区域外的其他所有区域 |
DDS FullAccess |
文档数据库服务的管理员权限 |
除全局区域外的其他所有区域 |
|
DDM FullAccess |
分布式数据库中间件的管理员权限 |
除全局区域外的其他所有区域 |
|
安全领域运维 |
Anti-DDoS Administrator |
Anti-DDoS流量清洗服务的管理员权限 |
除全局区域外的其他所有区域 |
CAD Administrator |
DDoS高防服务的管理员权限 |
除全局区域外的其他所有区域 |
|
WAF Administrator |
Web应用防火墙的管理员权限 |
除全局区域外的其他所有区域 |
|
VSS Administrator |
漏洞扫描服务的管理员权限 |
除全局区域外的其他所有区域 |
|
CGS Administrator |
容器安全服务的管理员权限 |
除全局区域外的其他所有区域 |
|
KMS Administrator |
数据加密服务的管理员权限 |
除全局区域外的其他所有区域 |
|
DBSS System Administrator |
数据库安全服务的管理员权限 |
除全局区域外的其他所有区域 |
|
SES Administrator |
安全专家服务的管理员权限 |
除全局区域外的其他所有区域 |
|
SC Administrator |
SSL证书管理服务的管理员权限 |
除全局区域外的其他所有区域 |
相关文档
相关产品
