授权管理 | 大装置帮助中心
跳到主要内容

授权管理

一、基于角色的访问控制

授权生效范围

授权生效范围是授权策略生效适用于的资源集范围,授权时需要先指定本次授权允许的作用范围。不同的授权生效范围将对应不同的可绑定角色。各个生效范围之间权限相互隔离,若要同时对多个生效范围进行授权,请分多次进行。

大装置授权可生效范围当前分为如下四种:

  • 资源管理:权限将在管理组、订阅、资源组、资源这四个层级中的具体某一个实例范围内生效。
  • 所有用户和用户组:权限将对所有用户和用户组生效。
  • 费用管理:权限将对费用管理范围中的计费账户、订单和账单生效。
  • 审计服务:权限将对云审计服务中的审计日志生效。


其中,资源管理范围分为管理组、订阅、资源组、资源四个可作用层级,详细介绍请参考[资源管理简介]。其中,管理组为最高层级,具体的资源实例为最低层级。当角色授权在某个管理组上时,将根据同时对该管理组下的订阅、资源组和具体资源实例生效。

授权主体

授权主体是角色权限的使用对象,包含用户和用户组两种实体身份类型。授权时,可以对多个用户或用户组进行授权。 对用户组授权后,该用户组内的所有组成员都将继承该用户组拥有的角色权限。

角色

大装置访问控制中,角色是一组权限的集合。角色会在租户维度列出对象可执行的一系列具体权限。 角色可以是高级别的(比如管理员)也可以是特定的(比如针对某一些资源)。 大装置中包含了许多系统定义好的内置角色,内置角色由平台统一创建和维护,用户不可修改但可以在授权时直接使用。若要为用户绑定角色,可以点击[大装置内置角色]查看某个角色包含的具体权限。

二、基本操作

IAM 用户要访问相应的大装置资源,需要先被授权相关角色。为 IAM 用户授权有直接为 IAM 用户授权和继承用户组权限两种方式。

操作步骤

方式一:直接为 IAM 用户授权

您可以直接为 IAM 用户授权相应角色以获得访问某种资源的权限。

在授权页面授权
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择用户 > 权限管理,进入授权页。
  3. 单击添加授权策略,新建授权策略。

  1. 在添加授权策略页面,为 IAM 用户添加授权。
  2. 指定授权生效范围。
- 说明:当选择的生效范围为资源管理时,需要具体指定一个资源层级对象。可以是某个管理组、订阅或资源组,也可以是某个具体资源实例。
  1. 单击下一步,选择授权主体和角色。
  2. 输入并选择授权主体。
    • 说明:授权主体包括需要被授权的 IAM 用户和用户组。单次最多选择 20 个主体,若需要为更多用户或用户组授权,请合理使用用户组或分多次操作。
  3. 选择绑定角色。
    • 说明:单次最多绑定 20 个角色,若需要绑定更多角色,请分多次操作。
  4. 单击确认授权
  5. 单击完成
在资源管理页面授权
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择资源,根据需要授权的资源对象进入其资源管理详情页。

  1. 在对象的授权管理菜单页中,单击添加授权策略,新建授权策略。

  1. 在添加授权策略页面,为该资源对象直接添加授权。
  2. 输入并选择需要被授权的主体。
  3. 选择绑定角色。
  4. 单击确认授权
  5. 单击完成

方式二:继承用户组权限

您可以将 IAM 用户添加至用户组,IAM 用户将自动继承该用户组所拥有的角色,通过此种方法获得的权限为继承权限。如果 IAM 用户被移出用户组,继承的权限将对应失效。

在用户详情页面添加组成员
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择用户 > 用户管理,进入用户列表页。
  3. 单击右侧操作栏的添加到组,选择需要添加的用户组。
  4. 单击确定,将用户添加到组并继承组权限。
  • 说明:若用户被移出用户组,其继承用户组的权限也将失效。
在用户组页面添加组成员
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择用户 > 用户组管理,进入用户组列表页。
  3. 单击右侧操作栏的添加成员,选择需要继承该用户组权限的用户。
  4. 单击确定,将用户添加到组并继承组权限。