创建用户组
管理员登录IAM控制台。
在统一身份认证服务,左侧导航窗格中,点击“用户组”,点击右上角的“创建用户组”。
在“创建用户组”界面,输入用户组名称和描述,单击“确定”,完成用户组创建。
按照上述方法,创建“测试人员组”。
给用户组授权
A公司的开发人员需要使用的云服务为弹性云主机、弹性负载均衡、虚拟私有云、云硬盘以及密钥管理,需要为“开发人员组”授予这五个服务的管理员权限。测试人员需要使用云监控,需要为“测试人员组”授予此服务的权限。完成用户组的授权后,用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统策略,请参见系统策略 。
确定所需权限。 通过查看系统策略,需要设置的权限详见下表。其中授权范围由策略的作用范围决定,分为全局和具体资源池两种情况。当授权范围为全局时,该授权将不区分具体资源池生效;当授权范围为具体资源池时,可以选择特定的一类节点资源池,如华东1、石家庄20等进行授权,该授权将只作用于具体的资源池上。
| 用户组 | 使用的服务 | 授权范围 | 设置策略名称 |
|---|---|---|---|
| 开发人员组 | 弹性云主机 | 具体资源池,如华东1 | ecs admin |
| 弹性负载均衡 | 全局 | elb admin | |
| 虚拟私有云 | 具体资源池,如华东1 | vpc admin | |
| 云硬盘 | 具体资源池,如华东1 | evs admin | |
| 密钥管理 | 全局 | kms admin | |
| 测试人员组 | 云监控 | 全局 | cm admin |
2. 在用户组列表中,单击“创建用户组”步骤中新建的用户组“开发人员组”右侧的“授权”。
3. 设置资源池的权限。
1)选择策略:由上表中的用户组和授权策略可知,需要对弹性云主机、虚拟私有云和云硬盘在具体资源池上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的资源池级策略,单击“下一步”。
2)设置授权范围:由于上一步选择的系统策略,作用范围为资源池,因此在设置授权范围时,可以选择具体资源池。在资源池指定列表的右上角输入框内,输入资源池名称,搜索后勾选“华东1”,此处代表本次授权的范围仅限于华东1资源池。单击“确定”完成授权。
4. 设置全局服务的权限。
1)选择策略:由上表中的用户组和授权策略可知,需要为弹性负载均衡、密钥管理在全局上进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的全局策略“elb admin”、“kms admin”,单击“下一步”。2)设置授权范围:由于上一步选择的系统策略,作用范围为全局,因此在设置授权范围时,默认勾选了“全局”选项。单击“确定”完成授权。
5. 参考第4步中的方法,给“测试人员组”授予全局的云监控“cm admin”权限。
