【华为云-上云之路】华为云资源IAM精细控制权限实践
一、案例背景:
如果你的华为云账号下有很多资源,不同资源需要对应职责的工程师进行管理,并且希望他们之间的权限彼此隔离,那么可以使用IAM功能进行权限的管理。
二、实现步骤
2.1登录IAM
首先我们需要登录IAM控制台,登录地址:
https://www.huaweicloud.cn/product/iam.html
点击下图立即使用即可进入后台,本服务免费使用。
2.2创建用户组
填写用户组名称后,点击确定,完成创建,如下图
2.3配置用户组权限
在这里可以设置策略的生效边界:
全局服务
包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。
区域级项目
基于区域(如华北-北京四、华南-广州等)进行部署的服务,可选择对如下区域项目进行授权
此处,以限制北京四区域为例,选择如下:
选择弹性云服务器
选择普通用户/管理员用户等,以下为普通用户,可以展开查看代码,都有哪些具体可执行权限。普通用户不具备创建、删除云服务器等权限。稍后我们进行验证。点击确认完成创建。
2.4创建用户
创建用户,填写必填信息后,如用户名邮箱,设置访问方式,建议控制台登录密码设置方式选择“首次登陆时设置”,这样的好处在于,操作者可以自定义设置喜欢的密码组合。如果你需要统一分配,则可以选择“自定义”
为了方便演示,我这里选择自定义。这里还有一个可选项,是否首次登陆需要重置密码,登陆保护等等。
勾选本次的用户组后,点击创建用户。等待创建完毕。
注意:
需要注意的是,如果之前的邮箱已经被华为云账号使用过,则IAM账号无法使用,建议申请使用IAM使用者的邮箱。
三、测试用户登录验证
3.1 IAM登录
登录地址为https://auth.huaweicloud.cn/authui/login?id=xxx
Id=后面的字符为主账号账户名,每个用户都是不同的,此处我用xxx代替。或者你还可以使用下图方式,点击IAM账号登录的方式进行登录,只不过是前者自动已经把主账号给你填充,后者需要你手动输入。
3.2测试查看主账号信息
登录后,比如想要查看主账号的信息,发现没有权限:
3.3测试查看北京一ECS
我们尝试将云服务器ECS资源控制台切换到北京一,发现也是无权限
3.4测试查看北京四ECS
切换至北京四,可以看到云服务器资源,并且我们可以实现云服务器的一些基础操作,比如开关机,登录等。
四、结论
以上验证授予特定成员,访问特定地域的特定资源,并授予相应的权限配置实践成功。你还可以设置如下的资源。
1. 设置弹性云服务器(ECS)的权限
2. 设置弹性负载均衡(ELB)的权限
3. 设置关系型数据库(RDS)的权限
4. 设置云硬盘(EVS)的权限
5. 设置云监控(CES)的权限
6. 设置云容器引擎(CCE)的权限
7. 设置对象存储服务(OBS)的权限
8. 设置云服务器备份(CSBS)的权限
9. 设置虚拟私有云(VPC)的权限
10. 设置分布式缓存服务(DCS)的权限
11. 设置文档数据库服务(DDS)的权限
12. 设置费用中心的权限
本文仅作为一个引子,其余的配置方式大相近同。感谢阅读。文末为本次教程电子版。
原创首发:华为云社区
- 点赞
- 收藏
- 关注作者
评论(0)