【华为云-上云之路】华为云资源IAM精细控制权限实践

举报
极客潇 发表于 2020/06/11 14:59:28 2020/06/11
【摘要】 如果你的华为云账号下有很多资源,不同资源需要对应职责的工程师进行管理,并且希望他们之间的权限彼此隔离,那么可以使用IAM功能进行权限的管理。

 一、案例背景:

如果你的华为云账号下有很多资源,不同资源需要对应职责的工程师进行管理,并且希望他们之间的权限彼此隔离,那么可以使用IAM功能进行权限的管理。

二、实现步骤

2.1登录IAM

首先我们需要登录IAM控制台,登录地址:

https://www.huaweicloud.cn/product/iam.html

点击下图立即使用即可进入后台,本服务免费使用。


2.2创建用户组

填写用户组名称后,点击确定,完成创建,如下图

 

2.3配置用户组权限

 

 

在这里可以设置策略的生效边界:

全局服务

包括对象存储服务(OBS)、内容分发网络(CDN)、标签管理服务(TMS)等。

区域级项目

基于区域(如华北-北京四、华南-广州等)进行部署的服务,可选择对如下区域项目进行授权

 

此处,以限制北京四区域为例,选择如下:

 

 

选择弹性云服务器

 

选择普通用户/管理员用户等,以下为普通用户,可以展开查看代码,都有哪些具体可执行权限。普通用户不具备创建、删除云服务器等权限。稍后我们进行验证。点击确认完成创建。

 

2.4创建用户

创建用户,填写必填信息后,如用户名邮箱,设置访问方式,建议控制台登录密码设置方式选择“首次登陆时设置”,这样的好处在于,操作者可以自定义设置喜欢的密码组合。如果你需要统一分配,则可以选择“自定义”

 

 

 

为了方便演示,我这里选择自定义。这里还有一个可选项,是否首次登陆需要重置密码,登陆保护等等。

 

 

 

勾选本次的用户组后,点击创建用户。等待创建完毕。

  


 

注意:

需要注意的是,如果之前的邮箱已经被华为云账号使用过,则IAM账号无法使用,建议申请使用IAM使用者的邮箱。

 

 

 

三、测试用户登录验证

3.1 IAM登录

登录地址为https://auth.huaweicloud.cn/authui/login?id=xxx

 

Id=后面的字符为主账号账户名,每个用户都是不同的,此处我用xxx代替。或者你还可以使用下图方式,点击IAM账号登录的方式进行登录,只不过是前者自动已经把主账号给你填充,后者需要你手动输入。

 

 

 

3.2测试查看主账号信息

登录后,比如想要查看主账号的信息,发现没有权限:

 

 


3.3测试查看北京一ECS

我们尝试将云服务器ECS资源控制台切换到北京一,发现也是无权限

3.4测试查看北京四ECS

切换至北京四,可以看到云服务器资源,并且我们可以实现云服务器的一些基础操作,比如开关机,登录等。

 

 

四、结论

以上验证授予特定成员,访问特定地域的特定资源,并授予相应的权限配置实践成功。你还可以设置如下的资源。

1. 设置弹性云服务器(ECS)的权限

2. 设置弹性负载均衡(ELB)的权限

3. 设置关系型数据库(RDS)的权限

4. 设置云硬盘(EVS)的权限

5. 设置云监控(CES)的权限

6. 设置云容器引擎(CCE)的权限

7. 设置对象存储服务(OBS)的权限

8. 设置云服务器备份(CSBS)的权限

9. 设置虚拟私有云(VPC)的权限

10. 设置分布式缓存服务(DCS)的权限

11. 设置文档数据库服务(DDS)的权限

12. 设置费用中心的权限

 


本文仅作为一个引子,其余的配置方式大相近同。感谢阅读。文末为本次教程电子版。

 

原创首发:华为云社区


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。