【云小课】应用平台第5课 云上权限管理专家!确定不了解一下?
统一身份认证服务(Identity and Access Management,简称IAM)为您打造专属的权限管理专家。帮您为每一个员工创建独立的用户名和密码,避免密码共享造成的安全风险。同时为这些IAM用户合理配置资源使用权限,满足您对用户权限的安全管控要求。为了帮您更好地进行权限管理,IAM预置多个云服务系统权限,如果系统权限无法满足您的要求,您还可以创建自定义策略,保证精细的权限管理。华为云权限管理,我们是专业的!
下面用一个简单的例子,为您详细介绍如何在权限管理专家的辅助下更好的管控华为云资源。
A公司的账号中拥有多种华为云资源,需要为图1所示的各个职能团队授予相应的资源使用权限。在IAM中按照表1给各团队设置权限,从而实现团队之间权限隔离,员工各司其职。
图1 A公司人员架构
表1 权限分配
权限管理流程
了解公司结构和各个职能团队需要配置的权限后,权限管理专家该登场啦。下面以管理员将Alice配置为安全管理团队成员,使其拥有“华北-北京四”区域Anti-DDoS、AAD服务所有执行权限为例,带您了解权限管理专家的工作流程。
图1 权限管理流程图
步骤1:创建用户组并授权
已知公司拥有五个职能团队,而管理组(admin)是IAM预置的,管理组中的用户可以帮助账号创建其他用户组。下面有请我们的管理员帮忙创建用户组并授权。
管理员进入统一身份认证控制台,单击左侧导航窗格中“用户组”>页面右上角“创建用户组”,输入用户组名称为“安全管理团队”、描述(可选),单击“确定”,完成创建用户组。
在上图所示的用户组列表中,单击用户组名称右侧的“权限配置”,进入用户组详情页。单击“权限管理”页签下的“配置权限”。
在用户组授权页面中,选择权限作用范围“区域级项目>cn-north-4[华北-北京四]”,选择所需权限“Anti-DDoS Administrator”和“CAD Administrator”,单击“确认”完成用户组授权。
完成创建用户组并授权后,可以在用户组列表查看已创建用户组,在用户组详情页查看为用户组所授予的权限。
步骤2:创建IAM用户并加入用户组
创建完用户组之后,管理员需要为每一个员工创建IAM用户,并将其添加至相应的用户组。将用户加入用户组,用户将具备用户组的权限,这一过程即给用户授权。
管理员进入统一身份认证控制台,单击左侧导航窗格中“用户”>页面右上角“创建用户”。
输入用户名“Alice”、邮箱、手机号(可选)、描述(可选),选择“华为云管理控制台访问”>“首次登录时设置”,并开启登录保护,单击“下一步”。
说明:
如果开发团队的Keith和Kelly需要通过API调用方式访问华为云,访问方式可以选择“编程访问”。了解更多,请戳→配置访问方式
3. 选择“安全管理团队”,单击“创建用户”,即可完成IAM用户授权。
步骤3:IAM用户登录
经过以上步骤,Alice已经拥有了自己的华为云专属通行证,这个通行证仅允许其访问“华北-北京四”区域的Anti-DDoS、AAD服务。最后,请Alice登录华为云,开始奇妙的华为云之旅!
在华为云的登录页面,单击登录下方的“IAM用户登录”,在“IAM用户登录”页面,输入账号名、用户名/邮箱和密码,单击“登录”,登录华为云。
将区域切换至[华北-北京4],Alice即可访问流量清洗服务(Anti-DDoS)、DDoS高防服务(AAD),为项目的安全保驾护航。
至此,权限管理专家就可以“离职”了?不,他将永远坚守在自己的岗位上!
当您需要变更用户权限时,可以通过用户组添加/移除用户实现。
当您需要变更用户组权限时,可以通过修改用户组权限实现。
当您需要取消某个用户组的权限时,可以通过移除用户组权限实现。
办法总比问题多
如果管理员在IAM控制台给IAM用户设置权限后,IAM用户登录发现权限没有生效,请继续查看下文。
可能原因1:管理员授予的权限有依赖角色,没有同步设置依赖角色,导致权限没有生效。角色的依赖关系请参考:系统权限。
解决方法:将有依赖的角色重新授权。方法请参见:依赖角色授权方法。
可能原因2:管理员给用户组授权后,忘记将IAM用户添加至用户组中。
解决办法:将IAM用户添加至用户组中。方法请参见:用户组添加用户。
可能原因3:对于区域级服务,没有在在对应的区域进行授权。
解决办法:在对IAM所在用户组授权时,选择对应的区域。方法请参见:创建用户组并授权。
可能原因4:IAM用户登录控制台后,没有切换到授权区域。
解决办法:请切换至授权区域。方法请参见:切换区域。
欢迎围观更多IAM信息
- 点赞
- 收藏
- 关注作者
评论(0)