更新时间:2024-07-31 GMT+08:00
分享

授权IAM用户使用TICS

如果您需要对您所拥有的TICS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)。通过IAM,您可以:

  • 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用TICS资源。
  • 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
  • 将TICS资源委托给更专业、高效的其他华为账号或者云服务,这些账号或者云服务可以根据权限进行代运维。

如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用TICS服务的其它功能。

本章节为您介绍对用户授权的方法,操作流程如创建IAM用户并授予TICS权限所示。

背景信息

给用户组授权之前,请您了解用户组可以添加的TICS系统策略,并结合实际需求进行选择。TICS支持的系统权限,请参见TICS权限管理

创建IAM用户并授予TICS权限

  1. 创建用户组并授权。使用华为账号登录IAM控制台,创建用户组,并授予TICS的普通用户操作权限,如“TICS CommonOperations”

    创建用户组并授权的具体操作,请参见创建用户组并授权

    配置用户组的TICS权限时,注意选择权限的作用范围为“区域级项目”,搜索框中输入权限名“TICS”进行搜索,然后勾选需要授予用户组的权限,如“TICS CommonOperations”

  2. 创建用户并加入用户组。在IAM控制台创建用户,并将其加入步骤1中创建的用户组。

    创建用户并加入用户组的具体操作,请参见创建用户并加入用户组

创建TICS服务时依赖的CCE权限

如果您需要授予IAM用户基于“云租户部署购买TICS服务的权限,则您需要为用户组配置系统角色CCE Administrator和OBS Administrator。
  1. 创建用户组tics_cce_min。
    图1 创建用户组

  2. 为用户组授权。

    单击用户组后的“授权”后进入选择策略界面,选择系统角色CCE Administrator和OBS Administrator完成授权。

    选择CCE Administrator和OBS Administrator系统角色后,系统会自动勾选其依赖的其他系统角色,因此实际中授权更多的系统角色。

    图2 授权

  3. 将所需授权的用户加入用户组tics_cce_min,即可为用户授予相关权限。
  4. 创建cce类型的计算节点之后,假如需要缩小权限,可自行把子用户从tics_cce_min用户组中删除。

创建TICS服务时依赖的IEF权限

如果您需要授予IAM用户基于“边缘节点部署购买TICS服务的权限,则您需要为用户组配置IEF服务的自定义策略tics-ief-iam-min和系统角色IEF Administrator。
  1. 创建自定义策略tics-ief-iam-min,主要内容为创建IEF所需的iam权限。
    图3 创建自定义策略

    策略内容如下:

    {
        "Version": "1.1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "iam:agencies:listAgencies",
                    "iam:permissions:listRolesForAgency",
                    "iam:roles:getRole"
                ]
            }
        ]
    }
    图4 策略内容
  2. 创建用户组tics_ief_min。
    图5 创建用户组
  3. 为用户组授权。
    单击用户组后的“授权”后进入选择策略界面,选择自定义策略tics-ief-iam-min和IEF Administrator系统角色完成授权。
    图6 授权

  4. 将所需授权的用户加入用户组tics_ief_min,即可为用户授予相关权限。

相关文档