数据权限控制
数据权限用于控制主子帐号能访问的数据不一样。主账号看到所有实例,子账号只能看到所属项目中的实例。其权限码为统一值instance-list,只有在策略中授予instance-list的权限码才具备查看实例的权限。如果在用户组授权包含instance-list的策略,则该用户组的子用户能看到所有实例。如果在企业项目中的用户组授权包含instance-list的策略,则该用户组的子用户只能看到该企业项目下的实例。
操作步骤:
进入IAM管理页面:
- 登录天翼云官网,鼠标悬浮至右上角个人信息,点击个人信息进入账号中心页面
- 在帐号中心页面中,点击统一认证服务进入IAM管理页面
创建用户组:
- 在IAM管理页面中,点击左侧菜单栏中用户组进入用户组管理页面
- 在用户组管理页面中,点击创建用户组按钮,在弹出框中填写用户组名称与描述,点击确定即可
创建子用户:
- 在IAM管理页面中,点击左侧菜单栏中用户进入用户管理页面
- 在用户管理页面中,点击创建用户按钮,进入创建页面
- 在创建页面中,首先需要配置用户基本信息。填写用户名称、手机号、邮箱和密码等信息,点击下一步加入用户组
- 在加入用户组页面,选择对应的用户组,点击添加按钮加入已选用户组,点击下一步即可
创建企业项目:
- 在IAM管理页面中,点击左侧菜单栏中企业项目进入企业项目管理页面
- 在企业项目管理页面中,点击创建企业项目按钮,在弹出框中填写企业项目名称与描述,点击确定即可
在企业项目中添加用户组:
- 在企业项目管理页面中,点击企业项目的查看用户组按钮进入企业项目的用户组管理页面
- 在企业项目的用户组管理页面中,点击设置用户组按钮,弹出设置用户组弹框
- 在弹出框中,选择用户组再点击>按钮加入已选用户组,最后点击确定按钮即可
对企业项目中的用户组设置策略:
- 在企业项目管理页面中,点击企业项目的查看用户组按钮进入企业项目的用户组管理页面
- 在企业项目的用户组管理页面中,点击用户组的设置策略按钮弹出设置策略弹框
- 在弹出框中选择对应策略,点击>按钮加入已选策略,最后点击确定按钮即可
功能权限控制
主账号可以通过给用户组授权策略实现对子账号的功能权限,策略包括系统策略和自定义策略。策略中可定义“允许”的操作和“拒绝”的操作,多个策略以”or”的关系进行评估,总体遵循Deny优先原则。
操作步骤:
进入IAM管理页面:
- 登录天翼云官网,鼠标悬浮至右上角个人信息,点击“个人信息”进入账号中心页面
- 在帐号中心页面中,点击“统一认证服务”进入IAM管理页面
创建用户组:
- 在IAM管理页面中,点击左侧菜单栏中“用户组”进入用户组管理页面
- 在用户组管理页面中,点击“创建用户组”按钮,在弹出框中填写用户组名称与描述,点击确定即可
创建子用户:
- 在IAM管理页面中,点击左侧菜单栏中“用户”进入用户管理页面
- 在用户管理页面中,点击“创建用户”按钮,进入创建页面
- 在创建页面中,首先需要配置用户基本信息。填写用户名称、手机号、邮箱和密码等信息,点击下一步加入用户组
- 在加入用户组页面,选择对应的用户组,点击“添加”按钮加入已选用户组,点击下一步即可
创建策略:
- 在IAM管理页面中,点击左侧菜单栏中“策略管理”进入用户组管理页面
- 在策略管理页面中,点击“创建自定义策略”,进入创建页面
- 在创建页面中,填写策略名称与策略描述,点击下一步
- 进入设置策略内容页面,可选择可视化视图和JSON视图。可视化视图中支持选择效果,云服务,操作,资源等信息,操作更灵活。JSON视图支持手动配置权限组,权限展示更加清晰。点击保存即成功创建自定义策略
授权:
- 在IAM管理页面中,点击左侧菜单栏中“用户组”进入用户组管理页面
- 在用户组管理页面中,点击对应用户组的“授权”按钮,进入授权页面
- 在授权页面中,勾选对应策略,点击下一步进入设置授权范围页面
- 在设置授权范围页面中,选择授权范围,点击“确定”按钮就可完成授权