云桌面权限概念
相关概念
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
帐号
当您首次使用华为云时注册的帐号,该帐号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。帐号统一接收所有IAM用户进行资源操作时产生的费用账单。
帐号不能在IAM中修改和删除,您可以在帐号中心修改帐号信息,如果您需要删除帐号,可以在帐号中心进行注销。
IAM用户
由帐号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据帐号授予的权限使用资源。IAM用户不进行独立的计费,由所属账户统一付费。
用户组
用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。
“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
举例说明
例如您希望a、b两组员工之间的权限隔离,即a组员工使用区域一项目云桌面资源、b组员工使用区域二项目云桌面资源。
- 您可以创建A、B两个用户组并授权,即将用户组A赋予区域一项目中云桌面的管理员权限,将用户组B赋予区域二中云桌面的管理员权限。
- 再创建两个IAM用户user1、user2,并将IAM用户user1加入用户组A,将IAM用户user2加入用户组B。此时IAM用户user1即拥有区域一项目云桌面管理员权限,IAM用户user2拥有区域二项目云桌面管理员权限。
- a组员工的管理员可以使用IAM用户user1的帐号登录华为云,进入区域一项目的云桌面控制台页面,为a组员工购买桌面,并对区域一项目中的云桌面进行管理。b组员工的管理员可以使用IAM用户user2的帐号登录华为云,进入区域二项目的云桌面控制台页面,为b组员工购买桌面,并对区域二项目中的云桌面进行管理。操作流程如图1所示。IAM用户创建请参见创建IAM用户。
云桌面服务管理员权限
权限根据授权的精细程度,分为策略和角色。云桌面服务使用角色授予IAM用户管理员权限。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云桌面管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对云桌面资源进行操作。
如表1所示,包括了云桌面的所有系统权限。其中“依赖关系”表示云桌面的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云桌面的角色依赖其他服务的角色实现功能。因此给用户组授予云桌面的权限时,请勿取消已勾选的其他依赖权限,否则云桌面的权限将无法生效。
系统权限 |
描述 |
说明 |
|---|---|---|
Workspace FullAccess |
云桌面服务所有权限 |
云桌面服务所有权限。 |
Workspace DesktopsManager |
云桌面服务桌面管理员权限 |
创建、删除、操作桌面(普通桌面、专属主机、渲染桌面、专享桌面、桌面池)及其他桌面相关(上网、定时任务、应用中心、镜像管理)的所有操作。 |
Workspace UserManager |
云桌面服务用户管理员权限 |
创建用户、删除用户、重置密码等用户管理操作。 |
Workspace SecurityManager |
云桌面服务安全管理员权限 |
策略管理、用户连接记录等的所有跟安全相关的功能操作。 |
Workspace TenantManager |
云桌面服务租户配置管理员权限 |
租户配置的所有功能。 |
Workspace ReadOnlyAccess |
云桌面服务只读权限 |
云桌面服务只读权限。 |
以下操作需要添加额外的权限如表2所示。
操作类型 |
依赖的系统角色、策略或自定义策略 |
说明 |
|---|---|---|
BSS相关权限:包周期相关操作,如购买、变更、按需转包周期等。 |
系统角色:BSS Administrator 自定义策略添加以下action: bss:discount:view bss:order:update bss:order:view bss:order:pay bss:renewal:view |
系统角色与自定义策略二选一即可。 |
IAM相关权限:定时任务、桌面池,创建与查询委托时需要的权限。 |
创建与查询委托依赖权限: 系统角色:Security Administrator 自定义策略添加以下action: iam:roles:getRole iam:roles:listRoles iam:agencies:getAgency iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToAgencyOnProject 仅需要查询委托依赖权限: 系统策略:IAM ReadOnlyAccess 自定义策略添加以下action: iam:agencies:getAgency iam:agencies:listAgencies iam:permissions:listRolesForAgencyOnProject |
创建委托时:系统角色Security Administrator与自定义策略二选一即可。 仅查询委托时:系统策略IAM ReadOnlyAccess与自定义策略二选一即可。 |
TMS相关权限:创建桌面时,要查询预定义标签则需要该权限。 |
系统策略:TMS FullAccess 自定义策略添加以下action: tms:predefineTags:list |
系统策略与自定义策略二选一即可。 |
VPCEP相关权限:开通/关闭云专线接入时需要该权限(企业项目细粒度鉴权时需要) |
系统角色:VPCEndpoint Administrator |
VPCEP服务暂不支持企业项目细粒度鉴权。 |
VPC相关权限:桌面相关操作、开通小规模桌面上网(企业项目细粒度鉴权时需要) |
IAM项目级的权限 系统策略:VPC ReadOnlyAccess 系统角色:VPC Administrator |
需要拥有开通桌面云服务所使用的VPC所在企业项目的VPC权限。 |
IMS相关权限:创建镜像时需要该权限(企业项目细粒度鉴权时需要) |
自定义策略添加以下action: ims:images:get ims:images:share |
IMS服务暂不支持企业项目细粒度鉴权。 |
以下Action的授权,仅支持北向接口,用户在IAM管理控制台授权后,在云桌面管理控制台对桌面的启动、关闭、重启等操作依然无权限。
云桌面管理控制台开机、关机、重启操作需授权Action:
权限:操作桌面
对应接口:POST/v2/{project_id}/desktops/action
授权项:workspace:desktops:operate
权限 |
对应API接口 |
授权项(Action) |
|---|---|---|
启动桌面 |
POST /v2/{project_id}/desktops/start |
workspace:desktops:start |
关闭桌面 |
POST /v2/{project_id}/desktops/stop |
workspace:desktops:stop |
重启桌面 |
POST /v2/{project_id}/desktops/reboot |
workspace:desktops:reboot |
