通过iam对多运维人员进行权限设置-j9九游会登录
方案概述
a公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过iam的身份策略功能可以实现该需求。
资源规划
根据a公司中员工所负责的不同职能,将员工划分为以下七个团队。
- 资源总运维:负责管理公司所有资源的团队。
- 财务管理:负责管理公司财务的团队。
- 查看资源:负责查看并监控所有资源使用情况的团队。
- 计算域运维:负责计算域运维的团队。
- 网络域运维:负责网络域运维的团队。
- 数据库运维:负责数据库运维的团队。
- 安全域运维:负责安全域运维的团队。
|
职能团队 |
需要授予的策略 |
权限说明 |
|---|---|---|
|
资源总运维 |
administratoraccesspolicy |
所有服务的所有权限。 |
|
财务管理 |
billingfullaccesspolicy |
费用中心、账号中心、成本中心、企业中心、消息中心的所有执行权限。 |
|
查看资源 |
readonlypolicy |
所有服务的只读权限。 |
|
计算域运维 |
ecsfullpolicy |
弹性云服务器(ecs)的所有执行权限,包括购买ecs的权限,仅拥有该权限的用户不能查看ecs以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
ccefullpolicy |
云容器引擎(cce)的所有执行权限,包括购买cce的权限,仅拥有该权限的用户不能查看cce以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
|
asfullpolicy |
弹性伸缩(as)的所有执行权限,包括购买as的权限,仅拥有该权限的用户不能查看as以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
|
网络域运维 |
vpcfullaccesspolicy |
虚拟私有云(vpc)的所有执行权限,包括购买vpc的权限,仅拥有该权限的用户不能查看vpc以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
elbfullaccesspolicy |
弹性负载均衡(elb)的所有执行权限,包括购买elb的权限,仅拥有该权限的用户不能查看elb以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
|
数据库运维 |
rdsfullaccesspolicy |
云数据库(rds)的所有执行权限,包括购买rds的权限,仅拥有该权限的用户不能查看rds以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
ddsfullaccesspolicy |
文档数据库服务(dds)的所有执行权限,包括购买dds的权限,仅拥有该权限的用户不能查看dds以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
|
ddmfullaccesspolicy |
分布式数据库中间件的所有执行权限。 |
|
|
安全领域运维 |
anti-ddosfullaccesspolicy |
anti-ddos流量清洗服务的所有执行权限。 |
|
aadfullaccesspolicy |
ddos高防服务的所有执行权限。 |
|
|
kmsfullaccesspolicy |
kms的所有权限策略,包括购买kms的权限,仅拥有该权限的用户不能查看kms以及其他资源的总体消费情况,如果需要查看消费情况,需要配合bss administrator使用。 |
|
资源 |
资源名称 |
资源说明 |
数量 |
|---|---|---|---|
|
管理员账号 |
company-a |
a公司用于管理资源和权限所创建的账号。 |
1 |
|
iam用户组 |
网络域运维 |
a公司根据团队职能需要划分为七个用户组,此处仅以创建用户组“网络域运维”为例。 |
1 |
|
iam用户 |
james、alice |
此处仅以创建iam用户“james”和“alice”为例。 |
2 |
|
权限 |
vpc fullaccess、elb fullaccess |
根据上表可知,需要为“网络域运维”用户组配置两个权限。 |
2 |
因为统一身份认证服务为免费服务,因此此最佳实践中不涉及费用。
操作流程
iam通过用户组功能实现用户的授权。本文档以a公司将一个员工配置为网络域运维负责人为例,介绍如何通过iam实现多运维人员权限设置需求,流程如图2 操作流程所示。如果需要将员工配置为其他运维负责人,请参考表1 团队权限说明,为相关负责人授予相应的系统身份策略。
步骤一:创建用户组并授权
- a公司管理员登录并进入华为云控制台。
- 在控制台页面中将鼠标移动至右上角的用户名,选择“统一身份认证”。
- 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。
图3 创建用户组
- 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。
图4 输入名称
- 单击新建用户组右侧的“授权”。
图5 授权
- 在搜索框中搜索“vpcfullaccesspolicy”和“elbfullaccesspolicy”,勾选并单击“确定”。
图6 勾选权限
- 单击“确定”,完成对“网络域运维”用户组的授权。创建成功的用户组将会展示在用户组列表中。
可以单击“网络域运维”用户组的名称,在“授权记录”页签下查看已授予的权限。
步骤二:创建iam用户并加入用户组
- a公司管理员在统一身份认证服务,左侧导航中,选择“用户”。
- 在用户页面,单击右上角“创建用户”。
图7 创建用户
- 配置用户james和alice的基本信息
在“创建用户”界面填写“用户名”、“描述”和“管理控制台访问”,并设置密码。图8 配置用户信息
- 单击“下一步”,将iam用户james、alice加入到上一步中创建的“网络域运维”用户组。
图9 加入用户组
- 单击“创建创建用户”,iam用户创建完成,此时可以下载登录密码。
图10 创建成功
步骤3:iam用户登录并验证权限
iam用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华为云。
- iam用户james或alice在华为云登录页面,单击右下角的“iam用户登录”。
- 在“iam用户登录”页面,输入a公司账号名company-a、iam用户名及用户密码。
- 账号名为该iam用户所属账号的名称。
- 用户名和密码为账号在iam创建用户时输入的用户名和密码。
图11 iam用户登录
- 登录成功后,iam用户进入华为云控制台。
- 在“服务列表”中选择虚拟私有云vpc、弹性负载均衡elb,可以进入这些服务的j9九游会登录主页面并进行管理操作,权限配置成功。
- 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成功。
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
