更新时间:2022-05-07 GMT+08:00
分享

创建用户组并授权

通过给用户组授予角色,授予角色后用户组会具有该角色的权限。

一个用户组可以被授予一个角色,也可以被授予多个角色,因此,租户可以根据需要自行决定创建用户组的个数。

按数据服务角色名称来创建的用户组,权限划分比较细致,在实际操作时可能一个人同时需要很多角色,这里列出两种常见的策略,见(可选)常用设置策略

下面以创建“Data Acquisition Engineer Group”为例介绍创建用户组并授权的方法,见创建用户组给用户组授权

背景信息

  • 统一身份认证服务提供的缺省用户组为“admin”用户组,“admin”用户组里的用户具有管理人员以及所有云服务资源的操作权限。
  • 数据服务中需要用到7个角色,如表1所示。
    表1 数据服务角色名称及说明

    角色名称

    说明

    Data Acquisition Engineer

    表示数据采集工程师,负责数据采集、传输和入湖。

    Data Processing Engineer

    表示数据工程师,负责数据解析适配、预处理、处理、后处理、控制数据流向、模型管理、设置数据目录和逻辑实体的密级。

    Data Asset Manager

    表示数据资产管理员,可执行的操作包括如下:
    • 负责数据分层管理、数据模型管理和审核(密级复审)及授权。
    • 数据权限按角色授权、用户(组)授权。
    • 设置组织对应的组织类型。
    • 设置组织类型的数据权限。
    • 设置数据目录和逻辑实体的密级。

    Data Lake SRE

    表示数据湖SRE(Site Reliability Engineer),可执行的操作包括如下:
    • 租户管理(例如:添加租户)、数据湖底层资源订购(例如:发送数据资产管理服务的订单号和URL给市场审批人员进行订单审批)及账号设置
    • 角色定义、用户(组)定义、用户(组)与角色绑定。

    Data Operation Engineer

    表示数据运营工程师,是对外提供数据消费的管理人员或系统,负责申请发布数据集、配置数据集授权和申请下架数据集。

    Data Owner

    表示数据集审批人员,负责审批数据集发布申请、数据集订阅申请和数据集下架申请。

    Data Security Auditor

    表示安全审计员,负责数据安全审计工作。

创建用户组

  1. 在Chrome浏览器中打开https://www.huaweicloud.com/
  2. 单击界面右上角的“登录”
  3. 输入账号名和密码,单击“登录”
  4. 在华为云首页,单击右上角的“控制台”
  5. 在控制台页面,单击右上角的账号名,选择“统一身份认证”
  6. 在统一身份认证服务左侧导航树中,单击“用户组”
  7. “用户组”界面上右上角,单击“创建用户组”
  8. “创建用户组”界面上,配置用户组的相关参数,单击“确定”,如图1所示。

    图1 配置创建用户组的参数

给用户组授权

  1. 单击Data Acquisition Engineer Group对应“操作”列下的“权限配置”
  2. “权限管理”页签中,单击列表左上方的“配置权限”,如图2所示。

    图2 配置权限

  3. 选择授权范围:目前环境是基于华北-北京一、华北-北京四部署的,在“在以下作用范围”下选择“区域级项目”,在下拉框中选择“华北-北京一”“华北-北京四”

    • 全局服务:服务部署时不区分物理区域,为全局级服务,在全局区域中授权。包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
    • 区域级项目:服务部署时通过物理区域划分,为项目级服务,授权后只在授权区域生效,如果需要所有区域都生效,则所有区域都需要进行授权操作。

  4. 选择用户组的权限:在“拥有以下权限”下,搜索并勾选需要授予的角色名称,如图3所示。

    图3 选择用户组对应的角色名称

  5. 单击已勾选的权限名称左侧的,查看权限的依赖关系。

    由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此给用户组授予角色时,对于有依赖的角色则需要授予依赖的角色才会生效。

    • 如果角色内容中存在“Depends”字段,表示该角色存在依赖关系,需要同时勾选依赖的角色。
    • 如果角色内容中不存在“Depends”字段,表示该角色不存在依赖关系,不需要勾选其他角色。

  6. 单击“确定”,完成用户组授权。

相关文档