【云小课】应用平台第5课 云上权限管理专家!确定不了解一下?

应用万花筒 发表于 2020/08/20 16:02:41 2020/08/20
【摘要】 花大价钱购买了弹性云服务器、云硬盘、裸金属服务器等华为云资源,希望授予员工刚好能完成工作所需的权限,以保证资源的安全、有效利用。此时您需要一个权限管理专家,帮您安全地控制用户对华为云资源的访问。就!是!它!统一身份认证服务!

image.png

统一身份认证服务(Identity and Access Management,简称IAM)为您打造专属的权限管理专家。帮您为每一个员工创建独立的用户名和密码,避免密码共享造成的安全风险。同时为这些IAM用户合理配置资源使用权限,满足您对用户权限的安全管控要求。为了帮您更好地进行权限管理,IAM预置多个云服务系统权限,如果系统权限无法满足您的要求,您还可以创建自定义策略,保证精细的权限管理。华为云权限管理,我们是专业的!


下面用一个简单的例子,为您详细介绍如何在权限管理专家的辅助下更好的管控华为云资源。

A公司的账号中拥有多种华为云资源,需要为图1所示的各个职能团队授予相应的资源使用权限。在IAM中按照表1给各团队设置权限,从而实现团队之间权限隔离,员工各司其职。

图1 A公司人员架构


表1 权限分配

权限管理流程

了解公司结构和各个职能团队需要配置的权限后,权限管理专家该登场啦。下面以管理员将Alice配置为安全管理团队成员,使其拥有“华北-北京四”区域Anti-DDoS、AAD服务所有执行权限为例,带您了解权限管理专家的工作流程。

图1 权限管理流程图

步骤1:创建用户组并授权

已知公司拥有五个职能团队,而管理组(admin)是IAM预置的,管理组中的用户可以帮助账号创建其他用户组。下面有请我们的管理员帮忙创建用户组并授权

  1. 管理员进入统一身份认证控制台,单击左侧导航窗格中“用户组”>页面右上角“创建用户组”,输入用户组名称为“安全管理团队”、描述(可选),单击“确定”,完成创建用户组。


  2. 在上图所示的用户组列表中,单击用户组名称右侧的“权限配置”,进入用户组详情页。单击“权限管理”页签下的“配置权限”。


  3. 在用户组授权页面中,选择权限作用范围“区域级项目>cn-north-4[华北-北京四]”,选择所需权限“Anti-DDoS Administrator”和“CAD Administrator”,单击“确认”完成用户组授权。


    完成创建用户组并授权后,可以在用户组列表查看已创建用户组,在用户组详情页查看为用户组所授予的权限。

步骤2:创建IAM用户并加入用户组

创建完用户组之后,管理员需要为每一个员工创建IAM用户,并将其添加至相应的用户组。将用户加入用户组,用户将具备用户组的权限,这一过程即给用户授权

  1. 管理员进入统一身份认证控制台,单击左侧导航窗格中“用户”>页面右上角“创建用户”。


  2. 输入用户名“Alice”、邮箱、手机号(可选)、描述(可选),选择“华为云管理控制台访问”>“首次登录时设置”,并开启登录保护,单击“下一步”。

说明:

       如果开发团队的Keith和Kelly需要通过API调用方式访问华为云,访问方式可以选择“编程访问”。了解更多,请戳→配置访问方式

   3. 选择“安全管理团队”,单击“创建用户”,即可完成IAM用户授权。

      

步骤3:IAM用户登录

经过以上步骤,Alice已经拥有了自己的华为云专属通行证,这个通行证仅允许其访问“华北-北京四”区域的Anti-DDoS、AAD服务。最后,请Alice登录华为云,开始奇妙的华为云之旅!

  1. 在华为云的登录页面,单击登录下方的“IAM用户登录”,在“IAM用户登录”页面,输入账号名、用户名/邮箱和密码,单击“登录”,登录华为云。


  2. 将区域切换至[华北-北京4],Alice即可访问流量清洗服务(Anti-DDoS)、DDoS高防服务(AAD),为项目的安全保驾护航。


至此,权限管理专家就可以“离职”了?不,他将永远坚守在自己的岗位上!

当您需要变更用户权限时,可以通过用户组添加/移除用户实现。

当您需要变更用户组权限时,可以通过修改用户组权限实现。

当您需要取消某个用户组的权限时,可以通过移除用户组权限实现。


办法总比问题多

如果管理员在IAM控制台给IAM用户设置权限后,IAM用户登录发现权限没有生效,请继续查看下文。

可能原因1:管理员授予的权限有依赖角色,没有同步设置依赖角色,导致权限没有生效。角色的依赖关系请参考:系统权限

解决方法:将有依赖的角色重新授权。方法请参见:依赖角色授权方法

可能原因2:管理员给用户组授权后,忘记将IAM用户添加至用户组中。

解决办法:将IAM用户添加至用户组中。方法请参见:用户组添加用户

可能原因3:对于区域级服务,没有在在对应的区域进行授权。

解决办法:在对IAM所在用户组授权时,选择对应的区域。方法请参见:创建用户组并授权

可能原因4:IAM用户登录控制台后,没有切换到授权区域。

解决办法:请切换至授权区域。方法请参见:切换区域


欢迎围观更多IAM信息

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。