创建用户组并授权
管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM用户也可以为自身授予权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。详情请参见给IAM用户授权。如需查看所有云服务的系统权限,请参见:系统权限。
操作视频
创建用户组
- 管理员登录IAM控制台。
- 在统一身份认证服务,左侧导航窗格中,选择“用户组”页签,单击右上方的“创建用户组”。
图1 创建用户组
- 在“创建用户组”界面,输入“用户组名称”。
- 单击“确定”,用户组创建完成,用户组列表中显示新创建的用户组。
给用户组授权
以下步骤仅适用于给用户组新增权限。如需移除权限,请参见:管理用户组的权限。
- 在用户组列表中,单击新建用户组右侧的“授权”。
图2 进入用户组权限设置页面
- 在用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。
如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。图3 选择权限
- 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。
表1 授权范围方案 可选方案
方案说明
所有资源
授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。
指定企业项目资源
选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。
如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:开通企业项目。
指定区域项目资源
选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。
如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。
说明:不支持选择专属云DEC的区域项目。
全局服务资源
IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时,不需要切换区域,如对象存储服务(OBS)、内容分发网络(CDN)等。
如果选择作用范围为“全局服务”,且所勾选的策略包含项目级服务权限,系统自动将项目权限作用范围设置为所有资源,勾选的全局服务权限的作用范围仍为全局服务。
- 单击“确定”,完成用户组授权。
- 当一个用户被加入多个用户组,将会拥有所有已加入用户组的权限。
- 更多有关权限的使用建议请参见:多运维人员权限设置案例、依赖角色的授权方法、自定义策略示例。
- 企业项目授权场景下,授予OBS相关的权限后,大概需要等待15~30分钟策略才能生效。
|
权限 |
需要授予的策略 |
权限说明 |
授权范围 |
|---|---|---|---|
|
总负责人 |
FullAccess |
支持基于策略授权服务的所有权限 |
所有资源 |
|
管理资源 |
Tenant Administrator |
除IAM外,其他所有服务的管理员权限 |
所有资源 |
|
查看资源 |
Tenant Guest |
所有资源的只读权限 |
所有资源 |
|
管理IAM用户 |
Security Administrator |
IAM的管理员权限 |
全局服务资源 |
|
管理费用 |
BSS Administrator |
费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。
说明:
授权时,需要授予所有区域的“BSS Administrator”权限。 |
指定区域项目资源 |
|
计算域运维 |
ECS FullAccess |
弹性云服务器的管理员权限 |
指定区域项目资源 |
|
CCE FullAccess |
云容器引擎的管理员权限 |
指定区域项目资源 |
|
|
CCI FullAccess |
云容器实例管理员权限 |
指定区域项目资源 |
|
|
BMS FullAccess |
裸金属服务器的管理员权限 |
指定区域项目资源 |
|
|
IMS FullAccess |
镜像服务的管理员权限 |
指定区域项目资源 |
|
|
AutoScaling FullAccess |
弹性伸缩的管理员权限 |
指定区域项目资源 |
|
|
网络域运维 |
VPC FullAccess |
虚拟私有云的管理员权限 |
指定区域项目资源 |
|
ELB FullAccess |
弹性负载均衡的管理员权限 |
指定区域项目资源 |
|
|
数据库运维 |
RDS FullAccess |
云数据库的管理员权限 |
指定区域项目资源 |
|
DDS FullAccess |
文档数据库服务的管理员权限 |
指定区域项目资源 |
|
|
DDM FullAccess |
分布式数据库中间件的管理员权限 |
指定区域项目资源 |
|
|
安全领域运维 |
Anti-DDoS Administrator |
Anti-DDoS流量清洗服务的管理员权限 |
指定区域项目资源 |
|
AAD Administrator |
DDoS高防服务的管理员权限 |
指定区域项目资源 |
|
|
WAF Administrator |
Web应用防火墙的管理员权限 |
指定区域项目资源 |
|
|
VSS Administrator |
漏洞扫描服务的管理员权限 |
指定区域项目资源 |
|
|
CGS Administrator |
容器安全服务的管理员权限 |
指定区域项目资源 |
|
|
KMS Administrator |
数据加密服务的管理员权限 |
指定区域项目资源 |
|
|
DBSS System Administrator |
数据库安全服务的管理员权限 |
指定区域项目资源 |
|
|
SES Administrator |
安全专家服务的管理员权限 |
指定区域项目资源 |
|
|
SC Administrator |
SSL证书管理服务的管理员权限 |
指定区域项目资源 |
相关操作
由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时,对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系,不需要进行依赖授权。
- 管理员登录IAM控制台。
- 在用户组列表中,单击新建用户组右侧的“授权”。
- 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。
- 选择角色,系统将自动勾选依赖角色。
图4 选择角色
- 单击勾选权限下方的
,查看角色的依赖关系。
图5 查看角色的依赖关系
例如“DNS Administrator”,角色内容中存在“Depends”字段,表示存在依赖关系。给用户组授予“DNS Administrator”角色时,还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色,“DNS Administrator”才能生效。
- 单击“确定”,完成依赖角色的授权。
