更新时间:2024-05-07 GMT+08:00
分享

云桌面权限概念

相关概念

IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》

账号

当您首次使用华为云时注册的账号,该账号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。账号统一接收所有IAM用户进行资源操作时产生的费用账单。

账号不能在IAM中修改和删除,您可以在账号中心修改账号信息,如果您需要删除账号,可以在账号中心进行注销。

IAM用户

由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户不进行独立的计费,由所属账户统一付费。

用户组

用户组是用户的集合,IAM通过用户组功能实现用户的授权。您创建的IAM用户,需要加入特定用户组后,才具备对应的权限,否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即多个用户组权限的全集。

“admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作并使用所有云资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

举例说明

例如您希望a、b两组员工之间的权限隔离,即a组员工使用区域一项目云桌面资源、b组员工使用区域二项目云桌面资源。

  1. 您可以创建A、B两个用户组并授权,即将用户组A赋予区域一项目中云桌面的管理员权限,将用户组B赋予区域二中云桌面的管理员权限。
  2. 再创建两个IAM用户user1、user2,并将IAM用户user1加入用户组A,将IAM用户user2加入用户组B。此时IAM用户user1即拥有区域一项目云桌面管理员权限,IAM用户user2拥有区域二项目云桌面管理员权限。
  3. a组员工的管理员可以使用IAM用户user1的账号登录华为云,进入区域一项目的云桌面控制台页面,为a组员工购买桌面,并对区域一项目中的云桌面进行管理。b组员工的管理员可以使用IAM用户user2的账号登录华为云,进入区域二项目的云桌面控制台页面,为b组员工购买桌面,并对区域二项目中的云桌面进行管理。操作流程如图1所示。IAM用户创建请参见创建IAM用户
图1 操作示意图

云桌面服务管理员权限

权限根据授权的精细程度,分为策略和角色。云桌面服务使用角色授予IAM用户管理员权限。

默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云桌面管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对云桌面资源进行操作。

表1所示,包括了云桌面的所有系统权限。其中“依赖关系”表示云桌面的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云桌面的角色依赖其他服务的角色实现功能。因此给用户组授予云桌面的权限时,请勿取消已勾选的其他依赖权限,否则云桌面的权限将无法生效。

表1 云桌面系统权限

系统权限

描述

说明

Workspace FullAccess

云桌面服务所有权限

云桌面服务所有权限。

Workspace DesktopsManager

云桌面服务桌面管理员权限

创建、删除、操作桌面(普通桌面、专属主机、渲染桌面、专享桌面、桌面池)及其他桌面相关(上网、定时任务、应用中心、镜像管理)的所有操作。

Workspace UserManager

云桌面服务用户管理员权限

创建用户、删除用户、重置密码等用户管理操作。

Workspace SecurityManager

云桌面服务安全管理员权限

策略管理、用户连接记录等的所有跟安全相关的功能操作。

Workspace TenantManager

云桌面服务租户配置管理员权限

租户配置的所有功能。

Workspace ReadOnlyAccess

云桌面服务只读权限

云桌面服务只读权限。

以下操作需要添加额外的权限如表2所示。

云桌面依赖权限,请参考IAM用户授权或者自定义策略

表2 额外权限

操作类型

依赖的系统角色、策略或自定义策略

说明

BSS相关权限:包周期相关操作,如购买、变更、按需转包周期等。

系统角色:BSS Administrator

自定义策略添加以下action:

bss:discount:view

bss:order:update

bss:order:view

bss:order:pay

bss:renewal:view

系统角色与自定义策略二选一即可。

IAM相关权限:定时任务、桌面池,创建与查询委托时需要的权限。

创建与查询委托依赖权限:

系统角色:Security Administrator

自定义策略添加以下action:

iam:roles:getRole

iam:roles:listRoles

iam:agencies:getAgency

iam:agencies:listAgencies

iam:agencies:createAgency

iam:permissions:listRolesForAgencyOnProject

iam:permissions:grantRoleToAgencyOnProject

仅需要查询委托依赖权限:

系统策略:IAM ReadOnlyAccess

自定义策略添加以下action:

iam:agencies:getAgency

iam:agencies:listAgencies

iam:permissions:listRolesForAgencyOnProject

创建委托时:系统角色Security Administrator与自定义策略二选一即可。

仅查询委托时:系统策略IAM ReadOnlyAccess与自定义策略二选一即可。

TMS相关权限:创建桌面时,要查询预定义标签则需要该权限。

系统策略:TMS FullAccess

自定义策略添加以下action:

tms:predefineTags:list

系统策略与自定义策略二选一即可。

VPCEP相关权限:开通/关闭云专线接入时需要该权限(企业项目细粒度鉴权时需要)

系统角色:VPCEndpoint Administrator

VPCEP服务暂不支持企业项目细粒度鉴权。

VPC相关权限:桌面相关操作、开通小规模桌面上网(企业项目细粒度鉴权时需要)

IAM项目级的权限

系统策略:VPC ReadOnlyAccess

系统角色:VPC Administrator

需要拥有开通桌面云服务所使用的VPC所在企业项目的VPC权限。

IMS相关权限:创建镜像时需要该权限(企业项目细粒度鉴权时需要)

自定义策略添加以下action:

ims:images:get

ims:images:share

IMS服务暂不支持企业项目细粒度鉴权。

以下Action的授权,仅支持北向接口,用户在IAM管理控制台授权后,在云桌面管理控制台对桌面的启动、关闭、重启等操作依然无权限。

云桌面管理控制台开机、关机、重启操作需授权Action:

权限:操作桌面

对应接口:POST/v2/{project_id}/desktops/action

授权项:workspace:desktops:operate

表3 仅北向接口支持权限

权限

对应API接口

授权项(Action)

启动桌面

POST /v2/{project_id}/desktops/start

workspace:desktops:start

关闭桌面

POST /v2/{project_id}/desktops/stop

workspace:desktops:stop

重启桌面

POST /v2/{project_id}/desktops/reboot

workspace:desktops:reboot

相关文档