管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。
创建用户组
步骤 1 使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 鼠标移动至天翼云首页右上角用户头像,在下拉列表中单击“个人中心”。
步骤 3 个人中心左侧菜单中,单击“主子账号及授权管理”。
步骤 4 在主子账号及授权管理页,单击左侧导航菜单中的“用户组”。
步骤 5 在“用户组”管理界面中,单击“创建用户组”。
步骤 6 输入“用户组名称”和“描述”,单击“确定”。
返回用户组列表页,用户组列表中将显示新创建的用户组。
给用户组授权
以下步骤仅适用于给用户组新增权限。如需移除权限,请参见移除用户组权限。
步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户。
步骤 2 单击首页顶部控制台,在控制中心页面“管理与部署”类中,单击“统一身份认证服务”。
步骤 3 在统一身份认证服务管理页面,单击左侧功能菜单“用户组”,单击待添加授权用户组右侧的 “授权”。
步骤 4 用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。
如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。
步骤 5 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,下表为IAM提供的所有授权范围方案。
表 授权范围方案
可选方案 | 方案说明 |
---|---|
所有资源 | IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 |
指定企业项目资源 | 选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目,将不支持基于企业项目授权。 |
指定区域项目资源 | 选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源 ,勾选的区域项目权限的作用范围仍为指定区域项目。 |
全局服务资源 | IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时,不需要切换区域,如对象存储服务(OBS)等。 如果选择作用范围为“全局服务”,且所勾选的策略包含项目级服务权限,系统自动将项目权限作用范围设置为所有资源 ,勾选的全局服务权限的作用范围仍为全局服务。 |
步骤 6 单击“确定”,完成用户组授权。