A公司在天翼云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。
- 负责管理公司所有资源的团队。
- 负责管理公司财务的团队。
- 负责计算域运维的团队。
- 负责网络域运维的团队。
通过下表,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解天翼云所有云服务的系统权限,请参见系统策略。
| 职能团队 | 需要授予的策略 | 权限说明 |
|---|---|---|
| 资源总运维 | resource admin | 除IAM外,其他所有云服务的所有权限,包括账务、优惠券、订单等通用权限,可以购买资源,管理续费,查看账单等。 |
| 财务管理 | bss admin | 订单-管理员权限 |
| 财务管理 | mkt admin | 优惠券管理者权限 |
| 财务管理 | acct admin | 账务-管理员权限 |
| 计算域运维 | ecs admin | 云主机服务-管理者权限 |
| 计算域运维 | CCSE admin | CCSE 超级管理员权限 |
| 网络域运维 | vpc admin | 虚拟私有云-管理者权限 |
| 网络域运维 | elb admin | 负载均衡-管理者权限 |
多运维人员权限配置示例
IAM通过用户组功能实现用户的授权,以A公司将一个员工配置为“华东1”资源池的网络域运维负责人为例,帮助您了解多权限配置流程。如果需要将员工配置为其他运维负责人,请参考系统策略,为相关负责人授予相应的系统权限。
第一步:创建用户组和授权
- A公司使用注册的天翼云主账号,登录天翼云。
- 鼠标移动至右上方的用户名,在下拉列表中选择“账号中心”。
- 在左侧导航栏选择“统一身份认证”。
- 在统一身份认证服务,左侧导航窗格中,单击“用户组”,单击“创建用户组”。
- 在“创建用户组”界面,输入“用户组名称”,单击“确定”,完成用户组创建。
- 在用户组列表中,单击新建用户组“网络运维组”右侧操作栏的“授权”。
- 在右上角搜索框中搜索“vpc admin”,勾选并单击“下一步”。
- 根据第7步“vpc admin”的作用范围,默认选择授权范围方案为“指定资源池”,选择“华东1”资源池,单击“确定”完成授权。
- 参考上述步骤,对“网络运维组”完成“elb admin”授权。
说明如果员工还需要使用下单、查询账单等公共能力,请额外添加对应系统策略。
第二步:创建IAM用户
- 在统一身份认证服务,左侧导航窗格中,单击“用户”,单击“创建用户”。
- 配置基本信息。在“创建用户”界面填写“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
说明
用户可使用此处设置的邮件地址登录天翼云。
当用户忘记密码时,可以通过绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
| 用户信息 | 说明 |
|---|---|
| 用户名 | 必填。IAM用户名。 |
| 邮件地址 | 必填。IAM用户绑定的邮件地址,可作为登录凭证。 |
| 手机号 | 必填。IAM用户绑定的手机号,可用于密码找回等操作。 |
| 描述 | 选填。记录IAM用户相关信息。 |
- 单击“下一步”,将用户加入到用户组。
- 将用户加入用户组“网络运维组”,用户将具备用户组的权限,这一过程即给用户授权。
- 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述,创建成功后即可将用户加入到新创建的用户组中。
说明“admin”为系统缺省提供的用户组,具有管理人员以及所有云服务资源的操作权限。
- 单击“创建用户”,IAM用户创建完成,用户列表中显示新创建的IAM用户。
- 参考上述方法,创建其他用户,并加入对应的用户组。
第三步:IAM用户登录并验证权限情况
完成IAM用户创建后,A公司主账号需要将IAM用户邮箱及初始密码告知对应的员工,这些员工就可以使用自己的邮箱和密码访问天翼云。如果登录失败,IAM用户可以联系管理员重置密码。
- 在天翼云登录页面,用户输入邮箱及密码。
- 单击“登录”,登录天翼云。
- 登录成功后,进入天翼云控制中心,请先切换至授权区域“华东1”,验证权限情况。
- 在“服务列表”中选择虚拟私有云、弹性负载均衡,可以进入这些服务的主页面并进行管理操作,表示权限配置成功。
- 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,表示权限配置成功。
- 切换区域至除“华东1”外的任一资源池,无法进入虚拟私有云的服务主页面,表示权限配置成功。
