创建用户组
-
管理员登录IAM控制台。
-
在统一身份认证服务,左侧导航窗格中,点击“用户组”,点击右上角的“创建用户组”。
-
在“创建用户组”界面,输入用户组名称和描述,单击“确定”,完成用户组创建。
-
按照上述方法,创建“测试人员组”。
给用户组授权
A公司的开发人员需要使用的云服务为弹性云主机、弹性负载均衡、虚拟私有云、云硬盘以及密钥管理,需要为“开发人员组”授予这五个服务的管理员权限。测试人员需要使用云监控,需要为“测试人员组”授予此服务的权限。完成用户组的授权后,用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统策略,请参见系统策略 。
- 确定所需权限。
通过查看系统策略,需要设置的权限详见下表。其中授权范围由策略的作用范围决定,分为全局和具体资源池两种情况。当授权范围为全局时,该授权将不区分具体资源池生效;当授权范围为具体资源池时,可以选择特定的一类节点资源池,如华东1、石家庄20等进行授权,该授权将只作用于具体的资源池上。
表 用户组和授权策略
用户组 使用的服务 授权范围 设置策略名称 开发人员组 弹性云主机 具体资源池,如华东1 ecs admin 弹性负载均衡 全局 elb admin 虚拟私有云 具体资源池,如华东1 vpc admin 云硬盘 具体资源池,如华东1 evs admin 密钥管理 全局 kms admin 测试人员组 云监控 全局 cm admin
-
在用户组列表中,单击“创建用户组”步骤中新建的用户组“开发人员组”右侧的“授权”。
-
设置资源池的权限。
-
选择策略:由上表中的用户组和授权策略可知,需要对弹性云主机、虚拟私有云和云硬盘在具体资源池上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的资源池级策略,单击“下一步”。
-
设置授权范围:由于上一步选择的系统策略,作用范围为资源池,因此在设置授权范围时,可以选择具体资源池。在资源池指定列表的右上角输入框内,输入资源池名称,搜索后勾选“华东1”,此处代表本次授权的范围仅限于华东1资源池。单击“确定”完成授权。
-
-
设置全局服务的权限。
- 选择策略:由上表中的用户组和授权策略可知,需要为弹性负载均衡、密钥管理在全局上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的全局策略“elb admin”、“kms admin”,单击“下一步”。
- 设置授权范围:由于上一步选择的系统策略,作用范围为全局,因此在设置授权范围时,默认勾选了“全局”选项。单击“确定”完成授权。
- 选择策略:由上表中的用户组和授权策略可知,需要为弹性负载均衡、密钥管理在全局上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的全局策略“elb admin”、“kms admin”,单击“下一步”。
-
参考第4步中的方法,给“测试人员组”授予全局的云监控“cm admin”权限。
