概述
为了更好地保护企业信息安全,实现企业级的账号管理,MSAP通过接入IAM(统一身份认证)系统来管理平台成员账号数据。通过在IAM控制台新建子账号并访问MSAP控制台后即可将子账号同步到MSAP控制台中。如图所示:
若无子账号数据,请使用主账号在天翼云官网IAM控制台添加自定义用户。
注意新增完子账号后,需要子账号登录一次天翼云官网并访问MSAP控制台即可。
点击查看IAM权限策略,可以查看当前子账号所具有的MSAP权限策略。
如需对子账号用户授予云容器引擎集群内RBAC权限,请点击授权CCE按钮选择需要授权的集群即可。
创建IAM用户
MSAP通过接入天翼云统一身份认证(Identity and Access Management,简称IAM)服务来对其功能权限做访问权限管理。目前MSAP在IAM控制台内置两种系统策略:MASP管理员策略和MSAP普通用户策略。
主账号通过IAM控制台(https://iam.ctyun.cn/)在用户菜单下按照提示信息创建完成自定义用户(子账号)。
注意在没有授予MSAP IAM功能权限的子账号是没有权限访问MSAP功能页面的,请参考主账号给子账号授予IAM权限策略流程。
主账号给子账号授予IAM权限策略流程:
- MSAP内置了两套IAM系统策略,分别为MSAP管理员与MSAP普通用户策略,MSAP管理员策略具有访问MSAP所有页面的功能权限,MSAP普通用户策略只能访问部分页面,涉及到资源管理,成员管理,MSAP系统数据相关的功能页面访问受限。
- 在您认为当前系统策略不能满足使用MSAP需求的情况下,您可以在IAM控制台策略管理菜单下创建自定义策略,具体操作流程如下:
- 创建自定义策略。
- 设置策略内容,可以通过可视化视图添加策略内容。选择微服务云应用平台MSAP云服务,添加对应的操作权限项。
- 点击保存即可。
- 将策略授予到对应的用户组。
在IAM控制台用户组菜单下,您需要新建一个用户组,将您需要使用的MSAP策略授权给对应的用户组,具体的操作如下:
- 创建用户组。
- 将MSAP策略授予到用户组。
- 资源池默认选择,点击确认保存即可。
- 将子账号添加到对应的用户组,完成最后对子账号授权操作,在IAM控制台点击用户菜单,选择对应的子账号,点击查看操作。
- 选择所属用户组,对其添加用户组。
- 选择对应的用户组添加完成操作即可。
这样子账号就有访问MSAP功能页面权限了。
子账号授权CCE
在MSAP给子账号授权云容器引擎命名空间权限,默认提供管理员权限,包括对集群所有命名空间下Kubernetes资源的RBAC读写权限,对集群节点、存储卷、命名空间、配额的读写权限。不支持自定义其他权限,如需变更请到 云容器引擎 控制台对应集群下进行权限变更。如图所示:
