《大话华为云OBS+IAM权限控制》连载 (七)：“IAM管理员”有权使用本企业的IAM服务资源，“安全管理员”权限务必谨慎授予

在云企业的IAM用户中，有权使用本企业IAM服务资源（即有权进行本企业人力资源和物力资源管理）的IAM用户，就是所谓的IAM管理员。究竟哪些IAM用户能够成为IAM管理员呢？包括如下三类：

• Tenant对应的IAM用户：企业老板当然可以使用本企业的一切服务资源，当然也包括IAM服务资源。
  
  

• admin用户组中的IAM用户：董事会领导集体成员，当然可以使用企业购买的所有服务资源，其中自然也包括IAM服务资源
  
  

• 拥有“安全管理员（Security Administrator）”权限的IAM用户：IAM中默认的“安全管理员（Security Administrator）”系统角色是一个特别的IAM权限，拥有这个权限的IAM用户就拥有企业人力和物理资源管理的尚方宝剑，影响巨大，务必谨慎授权

• 这里有一点特别需要注意，拥有“Security Administrator”权限只意味着可以使用本企业的IAM服务资源（即可以管理本企业的人力和物力资源的分配），但是并不意味着拥有本企业其他云服务资源的权力。由于很多情况下，华为云用户都是用Tenant或者admin用户组用户登录IAM控制台的，所以这一点很容易混淆和被忽视。
        例如，用户user_2所在的user_group_2的权限配置中，仅包含“Security Administrator”，如下图所示：

  此时user_2用户登录控制台后，只能访问IAM服务，而无法访问其他的云服务资源（例如下图所示的无法访问OBS资源）

  

  但是user_2此时可以修改 user_group_2用户组的权限，给予该用户组OBS服务资源访问权限，这样的曲线方式仍然能够达到让user_2访问任意服务资源的结果——所以再次强调，Security dministrator权限潜在风险极大，务必谨慎！