云桌面 WORKSPACE-云桌面权限概念:云桌面服务管理员权限
下载云桌面 WORKSPACE用户手册完整版
云桌面 服务管理员权限
权限根据授权的精细程度,分为策略和角色。云桌面服务使用角色授予 IAM 用户管理员权限。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云桌面管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对云桌面资源进行操作。
如表1所示,包括了云桌面的所有系统权限。其中“依赖关系”表示云桌面的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云桌面的角色依赖其他服务的角色实现功能。因此给用户组授予云桌面的权限时,请勿取消已勾选的其他依赖权限,否则云桌面的权限将无法生效。
系统权限 |
描述 |
说明 |
|---|---|---|
Workspace FullAccess |
云桌面服务所有权限 |
云桌面服务所有权限。 |
Workspace DesktopsManager |
云桌面服务桌面管理员权限 |
创建、删除、操作桌面(普通桌面、专属主机、渲染桌面、专享桌面、桌面池)及其他桌面相关(上网、定时任务、应用中心、镜像管理)的所有操作。 |
Workspace UserManager |
云桌面服务用户管理员权限 |
创建用户、删除用户、重置密码等用户管理操作。 |
Workspace SecurityManager |
云桌面服务安全管理员权限 |
策略管理、用户连接记录等的所有跟安全相关的功能操作。 |
Workspace TenantManager |
云桌面服务租户配置管理员权限 |
租户配置的所有功能。 |
Workspace ReadOnlyAccess |
云桌面服务只读权限 |
云桌面服务只读权限。 |
以下操作需要添加额外的权限如表2所示。
操作类型 |
依赖的系统角色、策略或自定义策略 |
说明 |
|---|---|---|
BSS相关权限:包周期相关操作,如购买、变更、按需转包周期等。 |
系统角色:BSS Administrator 自定义策略添加以下action: bss:discount:view bss:order:update bss:order:view bss:order:pay bss:renewal:view |
系统角色与自定义策略二选一即可。 |
IAM相关权限:定时任务、桌面池,创建与查询委托时需要的权限。 |
创建与查询委托依赖权限: 系统角色:Security Administrator 自定义策略添加以下action: iam:roles:getRole iam:roles:listRoles iam:agencies:getAgency iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToAgencyOnProject 仅需要查询委托依赖权限: 系统策略:IAM ReadOnlyAccess 自定义策略添加以下action: iam:agencies:getAgency iam:agencies:listAgencies iam:permissions:listRolesForAgencyOnProject |
创建委托时:系统角色Security Administrator与自定义策略二选一即可。 仅查询委托时:系统策略IAM ReadOnlyAccess与自定义策略二选一即可。 |
TMS相关权限:创建桌面时,要查询预定义标签则需要该权限。 |
系统策略:TMS FullAccess 自定义策略添加以下action: tms:predefineTags:list |
系统策略与自定义策略二选一即可。 |
VPCEP相关权限:开通/关闭云专线接入时需要该权限(企业项目细粒度鉴权时需要) |
系统角色:VPCEndpoint Administrator |
VPCEP服务暂不支持企业项目细粒度鉴权。 |
VPC相关权限:桌面相关操作、开通小规模桌面上网(企业项目细粒度鉴权时需要) |
IAM项目级的权限 系统策略:VPC ReadOnlyAccess 系统角色:VPC Administrator |
需要拥有开通桌面云服务所使用的VPC所在企业项目的VPC权限。 |
IMS相关权限:创建镜像时需要该权限(企业项目细粒度鉴权时需要) |
自定义策略添加以下action: ims:images:get ims:images:share |
IMS服务暂不支持企业项目细粒度鉴权。 |
以下Action的授权,仅支持北向接口,用户在IAM管理控制台授权后,在云桌面管理控制台对桌面的启动、关闭、重启等操作依然无权限。
云桌面管理控制台开机、关机、重启操作需授权Action:
权限:操作桌面
对应接口:POST/v2/{project_id}/desktops/action
授权项:workspace:desktops:operate
权限 |
对应API接口 |
授权项(Action) |
|---|---|---|
启动桌面 |
POST /v2/{project_id}/desktops/start |
workspace:desktops:start |
关闭桌面 |
POST /v2/{project_id}/desktops/stop |
workspace:desktops:stop |
重启桌面 |
POST /v2/{project_id}/desktops/reboot |
workspace:desktops:reboot |
