概述
MSE注册配置中心已接入主子账号体系,可区分两种账号权限,实现主账号对子账号的数据权限管理与功能权限管理,支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。
背景
- 主账号 :用户在天翼云注册后自动创建,该账号对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,由于账号是付费主体为了确保账号安全,建议创建子用户来进行日常管理工作。
- 子账号 :主账号认证为企业账号后,在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台,登录入口与主账号相同,受主账号赋予的权限限制。
- 企业项目: 将云资源、企业成员按项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用项目内云资源的权限受用户组的授权限制。
注意一个实例只能归属一个企业项目(可变更),一个子账号可以同时在多个企业项目中。
- 策略: 是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。
- 系统策略: 系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对组件的只读权限、普通用户权限和管理员权限等等;系统策略只能用于授权,不能编辑和修改。
- 数据权限: 看到的数据不一样。主账号看到所有实例,子账号只能看到所属项目中的实例。
- 功能权限: 主账号可以进行所有控制台操作,子账号对单个组件实例拥有的操作权限由主账号授权。
- 功能权限授权: 给子账号在企业项目A下增加一个策略,即代表该子账号对企业项目A下的实例拥有了策略中定义的权限,策略以外的操作会被禁止。
数据权限控制
数据权限的权限码为统一值instance-list,策略中包含instance-list的权限码才具备查看实例的权限。如果在用户组直接授权包含instance-list的策略,则该用户组的子用户能看到所有实例。如果在企业项目中的用户组授权包含instance-list的策略,则该用户组的子用户只能看到该企业项目下的实例。
操作步骤:
- 进入IAM管理页面:
- 登录天翼云官网,鼠标悬浮至右上角个人信息,点击个人信息进入账号中心页面。
- 在账号中心页面中,点击统一认证服务进入IAM管理页面。
- 创建用户组:
- 在IAM管理页面中,点击左侧菜单栏中用户组进入用户组管理页面。
- 在用户组管理页面中,点击创建用户组按钮,在弹出框中填写用户组名称与描述,点击确定即可。
- 创建子用户:
- 在IAM管理页面中,点击左侧菜单栏中用户进入用户管理页面。
- 在用户管理页面中,点击创建用户按钮,进入创建页面。
- 在创建页面中,首先需要配置用户基本信息。填写用户名称、手机号、邮箱和密码等信息,点击下一步加入用户组。
- 在加入用户组页面,选择对应的用户组,点击添加按钮加入已选用户组,点击下一步即可。
- 创建企业项目:
- 在IAM管理页面中,点击左侧菜单栏中企业项目进入企业项目管理页面。
- 在企业项目管理页面中,点击创建企业项目按钮,在弹出框中填写企业项目名称与描述,点击确定即可。
- 在企业项目中添加用户组:
- 在企业项目管理页面中,点击企业项目的查看用户组按钮进入企业项目的用户组管理页面。
- 在企业项目的用户组管理页面中,点击设置用户组按钮,弹出设置用户组弹框。
- 在弹出框中,选择用户组再点击>按钮加入已选用户组,最后点击确定按钮即可。
- 对企业项目中的用户组设置策略:
- 在企业项目管理页面中,点击企业项目的查看用户组按钮进入企业项目的用户组管理页面。
- 在企业项目的用户组管理页面中,点击用户组的设置策略按钮弹出设置策略弹框。
- 在弹出框中选择对应策略,点击>按钮加入已选策略,最后点击确定按钮即可。
功能权限控制
主账号对子账号的功能权限控制是通过给用户组授权策略实现的,策略包括系统策略和自定义策略。策略中可定义“允许”的操作和“拒绝”的操作,“拒绝”的优先级大于“允许”。
操作步骤:
- 进入IAM管理页面:
- 登录天翼云官网,鼠标悬浮至右上角个人信息,点击“个人信息”进入账号中心页面。
- 在账号中心页面中,点击“统一认证服务”进入IAM管理页面。
- 创建用户组:
- 在IAM管理页面中,点击左侧菜单栏中“用户组”进入用户组管理页面。
- 在用户组管理页面中,点击“创建用户组”按钮,在弹出框中填写用户组名称与描述,点击确定即可。
- 创建子用户:
- 在IAM管理页面中,点击左侧菜单栏中“用户”进入用户管理页面。
- 在用户管理页面中,点击“创建用户”按钮,进入创建页面。
- 在创建页面中,首先需要配置用户基本信息。填写用户名称、手机号、邮箱和密码等信息,点击下一步加入用户组。
- 在加入用户组页面,选择对应的用户组,点击“添加”按钮加入已选用户组,点击下一步即可。
- 授权:
- 在IAM管理页面中,点击左侧菜单栏中“用户组”进入用户组管理页面。
- 在用户组管理页面中,点击对应用户组的“授权”按钮,进入授权页面。
- 在授权页面中,勾选对应策略,点击下一步进入设置授权范围页面。
- 在设置授权范围页面中,选择授权范围,点击“确定”按钮就可完成授权。