授权IAM用户使用TICS

如果您需要对您所拥有的TICS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以：

根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用TICS资源。
根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。
将TICS资源委托给更专业、高效的其他华为账号或者云服务，这些账号或者云服务可以根据权限进行代运维。

如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用TICS服务的其它功能。

本章节为您介绍对用户授权的方法，操作流程如创建IAM用户并授予TICS权限所示。

背景信息

给用户组授权之前，请您了解用户组可以添加的TICS系统策略，并结合实际需求进行选择。TICS支持的系统权限，请参见TICS权限管理。

创建IAM用户并授予TICS权限

创建用户组并授权。使用华为账号登录IAM控制台，创建用户组，并授予TICS的普通用户操作权限，如“TICS CommonOperations”。
创建用户组并授权的具体操作，请参见创建用户组并授权。

配置用户组的TICS权限时，注意选择权限的作用范围为“区域级项目”，搜索框中输入权限名“TICS”进行搜索，然后勾选需要授予用户组的权限，如“TICS CommonOperations”。
创建用户并加入用户组。在IAM控制台创建用户，并将其加入步骤1中创建的用户组。
创建用户并加入用户组的具体操作，请参见创建用户并加入用户组。

创建TICS服务时依赖的CCE权限

如果您需要授予IAM用户基于“云租户部署”购买TICS服务的权限，则您需要为用户组配置系统角色CCE Administrator和OBS Administrator。

创建用户组tics_cce_min。
图1 创建用户组
为用户组授权。
单击用户组后的“授权”后进入选择策略界面，选择系统角色CCE Administrator和OBS Administrator完成授权。

选择CCE Administrator和OBS Administrator系统角色后，系统会自动勾选其依赖的其他系统角色，因此实际中授权更多的系统角色。

图2 授权
将所需授权的用户加入用户组tics_cce_min，即可为用户授予相关权限。
创建cce类型的计算节点之后，假如需要缩小权限，可自行把子用户从tics_cce_min用户组中删除。

创建TICS服务时依赖的IEF权限

如果您需要授予IAM用户基于“边缘节点部署”购买TICS服务的权限，则您需要为用户组配置IEF服务的自定义策略tics-ief-iam-min和系统角色IEF Administrator。

创建自定义策略tics-ief-iam-min，主要内容为创建IEF所需的iam权限。

图3 创建自定义策略
点击放大

策略内容如下：

{
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:agencies:listAgencies",
                "iam:permissions:listRolesForAgency",
                "iam:roles:getRole"
            ]
        }
    ]
}

图4 策略内容

创建用户组tics_ief_min。
图5 创建用户组
为用户组授权。
单击用户组后的“授权”后进入选择策略界面，选择自定义策略tics-ief-iam-min和IEF Administrator系统角色完成授权。
图6 授权
将所需授权的用户加入用户组tics_ief_min，即可为用户授予相关权限。