更新时间:2021-12-17 GMT+08:00
创建用户组并授权
通过给用户组授予角色,授予角色后用户组会具有该角色的权限。
一个用户组可以被授予一个角色,也可以被授予多个角色,因此,租户可以根据需要自行决定创建用户组的个数。
按数据服务角色名称来创建的用户组,权限划分比较细致,在实际操作时可能一个人同时需要很多角色,这里列出两种常见的策略,见(可选)常用设置策略。
下面以创建“Data Acquisition Engineer Group”为例介绍创建用户组并授权的方法,见创建用户组和给用户组授权。
背景信息
- 统一身份认证服务提供的缺省用户组为“admin”用户组,“admin”用户组里的用户具有管理人员以及所有云服务资源的操作权限。
- 数据服务中需要用到7个角色,如表1所示。
表1 数据服务角色名称及说明 角色名称
说明
Data Acquisition Engineer
表示数据采集工程师,负责数据采集、传输和入湖。
Data Processing Engineer
表示数据工程师,负责数据解析适配、预处理、处理、后处理、控制数据流向、模型管理、设置数据目录和逻辑实体的密级。
Data Asset Manager
表示数据资产管理员,可执行的操作包括如下:- 负责数据分层管理、数据模型管理和审核(密级复审)及授权。
- 数据权限按角色授权、用户(组)授权。
- 设置组织对应的组织类型。
- 设置组织类型的数据权限。
- 设置数据目录和逻辑实体的密级。
Data Lake SRE
表示数据湖SRE(Site Reliability Engineer),可执行的操作包括如下:- 租户管理(例如:添加租户)、数据湖底层资源订购(例如:发送数据资产管理服务的订单号和URL给市场审批人员进行订单审批)及账号设置。
- 角色定义、用户(组)定义、用户(组)与角色绑定。
Data Operation Engineer
表示数据运营工程师,是对外提供数据消费的管理人员或系统,负责申请发布数据集、配置数据集授权和申请下架数据集。
Data Owner
表示数据集审批人员,负责审批数据集发布申请、数据集订阅申请和数据集下架申请。
Data Security Auditor
表示安全审计员,负责数据安全审计工作。
创建用户组
- 在Chrome浏览器中打开https://www.huaweicloud.com/。
- 单击界面右上角的“登录”。
- 输入账号名和密码,单击“登录”。
- 在华为云首页,单击右上角的“控制台”。
- 在控制台页面,单击右上角的账号名,选择“统一身份认证”。
- 在统一身份认证服务左侧导航树中,单击“用户组”。
- 在“用户组”界面上右上角,单击“创建用户组”。
- 在“创建用户组”界面上,配置用户组的相关参数,单击“确定”,如图1所示。
给用户组授权
- 单击Data Acquisition Engineer Group对应“操作”列下的“权限配置”。
- 在“权限管理”页签中,单击列表左上方的“配置权限”,如图2所示。
- 选择授权范围:目前环境是基于华北-北京一、华北-北京四部署的,在“在以下作用范围”下选择“区域级项目”,在下拉框中选择“华北-北京一”或“华北-北京四”。
- 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
- 区域级项目:服务部署时通过物理区域划分,为项目级服务,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。
- 选择用户组的权限:在“拥有以下权限”下,搜索并勾选需要授予的角色名称,如图3所示。
- 单击已勾选的权限名称左侧的
,查看权限的依赖关系。
由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此给用户组授予角色时,对于有依赖的角色则需要授予依赖的角色才会生效。
- 如果角色内容中存在“Depends”字段,表示该角色存在依赖关系,需要同时勾选依赖的角色。
- 如果角色内容中不存在“Depends”字段,表示该角色不存在依赖关系,不需要勾选其他角色。
- 单击“确定”,完成用户组授权。
父主题: 申请账户
