当其他帐号与您创建了委托关系,即您是被委托方,默认情况下只有较大权限的用户(帐号本身以及admin用户组中的成员)可以管理委托资源,如果您需要普通IAM用户帮助您管理委托,可以将管理委托的权限分配给IAM子用户。
如果您有多个委托关系,可以授予IAM用户较大的委托权限,即管理所有的委托,也可以授予IAM用户精细的权限,仅管理指定的委托,即IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托,您可以创建细粒度的委托权限,授权IAM用户管理指定的委托。
前提条件
- 已有天翼云账号与您创建了委托关系。
- 您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。
操作步骤
步骤 1 创建用户组并授权。
- 被委托方使用天翼云帐号登录天翼云网门户。
- 单击首页顶部控制台,在控制中心页面“管理与部署”分类中,单击“统一身份认证服务”。
- 在统一身份认证服务左侧导航窗格中,单击“用户组”。
- 在“用户组”界面中,单击“创建用户组”,在跳转页面中再次单击“创建用户组”。
- 在弹出框中输入“用户组名称”、“描述”。
- 单击“确定”,返回统一身份认证服务的用户组列表页面,用户组列表中显示新创建的用户组。
- 单击新建用户组右侧的“授权”。
- 创建自定义策略。
说明如果需要授予IAM用户精细的委托权限,仅管理指定的委托,请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权,授予IAM用户管理所有的委托权限,请跳过该步骤,直接执行下一步骤。
a. 在选择策略页面,单击权限列表右上角“新建策略”。
b. 输入“策略名称”。
c. “策略配置方式”选择“JSON视图”。
d. 在“策略内容”区域,填入以下内容:
{
"Version": "1.1",
"Statement": [
{
"Action": [
"iam:agencies:assume"
],
"Resource": {
"uri": [
"/iam/agencies/b36b1258b5dc41a4axxx..."
]
},
"Effect": "Allow"
}
]
}
说明
"b36b1258b5dc41a4axxx..."需要替换为待授权委托的ID,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。
本文简要讲述快速完成委托细粒度授权的必要操作,更多权限内容,详情请参考“权限管理”章节。
e. 单击“下一步”,继续完成授权。
9.选择上一步创建的自定义策略或者“Agent Operator”权限,单击“下一步”。
- 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
- “Agent Operator”权限:用户可以管理所有委托。
10.选择授权范围方案。
11.单击“确定”,用户组授权完成。
步骤 2 创建IAM用户并加入用户组。
- 在统一身份认证服务左侧导航菜单中,单击“用户”
- 在“用户”界面,单击“创建用户”。在跳转页面中再次单击“创建子用户”。
- 在弹出的“创建子用户”对话框,输入“邮箱”、“用户名”、“手机号”等用户基本信息。
- 在“所属用户组”的下拉框中,选择步骤1中创建的用户组。
- 单击“创建”,完成IAM子用户创建。
说明分配委托权限操作完成,新创建的IAM用户可以通过切换角色至委托方帐号中,帮助您管理委托资源。
后续操作
被委托方帐号或分配了委托权限的IAM用户登录天翼云后,均可以“切换角色”至委托方帐号中,查看并根据权限使用委托资源。