检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用委托实现跨账号的资源授权与管理 A公司和B公司是华为云注册的企业用户,分别拥有自己单独的华为账号。本文主要介绍当A账号希望将部分资源委托给B账号时,使用IAM的委托功能来实现跨账号的资源授权与管理(A账号为委托方,B账号为被委托方)。 企业需求 A账号在华为云购买了多种资源,
策略结构 策略参数 策略参数包含Version和Statement两部分,下面介绍策略参数详细说明。了解策略参数后,您可以根据场景自定义策略,如自定义策略使用样例。 表1 策略参数说明 参数 含义 值 Version 策略的版本。 1.1:代表基于策略的访问控制。 Statement:
× √ × 删除用户组 √ × √ × 为用户组授权 √ × √ × 移除用户组权限 √ × √ × 创建自定义策略 √ × √ × 修改自定义策略 √ × √ × 删除自定义策略 √ × √ × 查询权限详情 √ × √ √ 创建委托 √ × √ × 查询委托 √ × √ √ 修改委托
在IAM预置权限。 策略-自定义策略 如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前IAM支持可视化视图、JSON视图两种自定义策略配置方式。 父主题: 权限管理
AM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略,限制用户只能从特定IP地址区间、网段及VPC Endpoint登录 IAM
依赖角色的授权方法 由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时,对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系,不需要进行依赖授权。 操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。
FullAccess”,单击“下一步”。 如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。 图7 选择权限 选择权限的作用范围为指定企业项目。 图8 选择企业项目 在企业项目列表中选择“企业项目A”。
选择“资源类型”为“所有资源”。 输入“策略描述”为“不能支付订单,可以提交订单的自定义策略”。 单击“确定”,自定义策略创建完成。 将新创建的自定义策略授予用户组B,IAM用户A具备自定义策略中的权限。 给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。 设置成功后,I
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持
FullAccess”,单击“下一步”。 如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。 图8 选择权限 选择权限的作用范围为指定企业项目。 图9 选择企业项目 在企业项目列表中选择“企业项目A”。
访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下
针对以上企业需求,可以使用IAM的用户授权功能,实现给员工分配委托以及委托的细粒度授权。 B账号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用户,员工使用这个用户帮助B账号管理委托。 B账号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,
查看或修改IAM用户信息 2021年2月 序号 功能名称 功能描述 阶段 相关文档 1 支持自定义委托持续时间 支持管理员自定义委托持续时间,包括创建、修改委托。 委托持续时间可以设置为永久、1天、自定义,自定义委托持续时间范围为1~365天。 商用 创建委托 2021年1月 序号 功能名称
权限管理 权限基本概念 角色 策略 系统策略更名详情 查看授权记录 自定义策略
步骤3:配置身份转换规则 企业IdP用户登录华为云后,华为云会根据身份转换规则,决定联邦用户的身份和拥有的权限。身份转换规则需要用户根据自身场景自定义,若不对身份转换规则进行配置,则联邦用户在华为云中的用户名默认为“FederationUser”,权限默认仅能访问华为云,没有其他任何权限。
单击“下一步”。 如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围
AM控制台为其授予权限。授权后,用户即可根据权限使用账号中的云服务资源。 约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。
用户组添加/移除用户 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 用户组添加用户 管理员在用户组列表中,单击新建的用户组,例如“开发人员组”,右侧的“用户组管理”。 图1 用户组管理
因为统一身份认证服务为免费服务,因此此最佳实践中不涉及费用。 操作流程 IAM通过用户组功能实现用户的授权。本文档以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,介绍如何通过IAM实现多运维人员权限设置需求,流程如图2所示。如果需要将员工配置为其他运维负责人,请参考表1,为相关负责人授予相应的系统权限。
如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例 身份凭证 身份凭证是识别用户身份的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
