在系统使用中,需要对不同的用户赋予不同的权限,本文以一个场景为例,介绍如何进行资源编排ROS的IAM权限管理。本文主要做场景介绍,更详细的功能使用方式请参见统一身份认证。
操作步骤
登录天翼云。
在页面右上角账户处点击“账号中心”,再点击“统一身份认证”,进入统一身份认证服务(IAM控制台)。即可进行用户及权限管理。
场景示例
某A公司使用了资源编排ROS,该公司有两个小组,一个小组人员负责申请云资源及资源的变更,另一个小组负责审核并执行资源的管理。为了方便A公司统一购买、分配资源并管理用户,A公司的人员不需要每人都注册天翼云帐号,而是由公司的管理员注册一个帐号,在这个帐号下创建IAM用户并分配权限,然后将创建的IAM用户分发给公司的人员使用。
| 组别 | 职能 | 权限 |
|---|---|---|
| 管理人员组 | 负责人员及资源的管理,进行权限分配、资源调配等。 | 内置的“ros admin”权限,审批并执行资源变更 |
| 开发人员组 | 需要使用弹性云主机、云硬盘、虚拟私有云等资源,会进行资源的申请及管理。 | 内置的“ros no execute”即申请权限,资源的新建、变更等的申请 |
资源编排ROS已内置3个系统策略:
“ros admin”:管理者权限,拥有ros所有权限
“ros viewer”:观察者权限,拥有ros所有读权限
“ros no execute”:使用及申请权限,即排除资源栈/执行计划部署+资源栈删除+取消部署权限
并支持自定义策略,管理员可根据实际需求自定义。
以下以“管理人员组”及“开发人员组”为例详细说明如何进行用户管理,并以“ros apply”策略为例介绍如何自定义策略。“ros apply”例子中的权限实际与“ros no execute”内置策略一致,此场景用户可直接使用内置的。
用户管理流程
A公司的管理员使用注册的帐号登录天翼云,创建“管理人员组”及“开发人员组”,并给用户组授权。操作步骤请参见:创建用户组和授权。
A公司的管理员给两个职能团队中的成员创建IAM用户,并让他们使用新创建的用户登录天翼云。操作步骤请参见:创建IAM用户和登录。
创建用户组和授权
创建用户组
在“创建用户组”界面,输入用户组名称和描述,单击“确定”,完成用户组创建。
给用户组授权
A公司的开发人员需要使用的云服务为资源编排ROS,需要为“开发人员组”授予该服务的apply策略权限,其他具体资源类型如弹性云主机等不在这里赘述,可自行添加。管理人员组需要使用所有权限,则为“管理人员组”授予admin的策略权限。完成用户组的授权后,用户组中的用户才可以使用这些云服务。
确定所需权限。
通过查看系统策略,需要设置的权限详见下表。其中授权范围由策略的作用范围决定,分为全局和具体资源池两种情况。当授权范围为全局时,该授权将不区分具体资源池生效;当授权范围为具体资源池时,可以选择特定的一类节点资源池,如华东1、石家庄20等进行授权,该授权将只作用于具体的资源池上。对于资源编排ROS服务,只能建全局的。创建策略方法详见创建自定义策略。
表 用户组和授权策略
| 用户组 | 使用的服务 | 授权范围 | 设置策略名称 |
|---|---|---|---|
| 开发人员组 | 资源编排ROS | 全局 | ros apply |
| 管理人员组 | 资源编排ROS | 全局 | ros admin |
开发人员组“ros apply”策略创建:拒绝下图中5个写操作,并赋予所有的资源编排ROS的权限
建好的策略如下:
admin策略系统内置,拥有所有权限
在用户组列表中,单击“创建用户组”步骤中新建的用户组“开发人员组”右侧的“授权”。
设置全局服务的权限。
3.1. 选择策略:由上表中的用户组和授权策略可知,需要为开发人员组在资源编排ROS的全局范围进行授权。在右上角“请输入策略名称进行搜索”框内输入策略名称进行搜索,勾选需要授予用户组的全局策略“ros apply”,单击“下一步”。管理人员组同样,选择“ros admin”策略即可。
3.2. 设置授权范围:由于上一步选择的系统策略,作用范围为全局,因此在设置授权范围时,默认勾选了“全局”选项。单击“确定”完成授权。
创建IAM用户和登录
在上述建好并授权的两个用户组中创建对应的用户,来使用户权限生效。 参见:创建IAM用户和登录
