多运维人员权限设置案例-九游平台

多运维人员权限配置示例

iam通过用户组功能实现用户的授权，以a公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例，帮助您了解多权限配置流程。如果需要将员工配置为其他运维负责人，请参考表1，为相关负责人授予相应的系统权限。

步骤1：创建用户组并授权

1. a公司登录并进入华为云控制台。
2. 控制台页面中单击右上角的用户名，选择“统一身份认证”。
3. 在统一身份认证服务的左侧导航空格中，单击“用户组”>“创建用户组”。
   图2 创建用户组
   
4. 在“创建用户组”界面，输入“用户组名称”为“网络域运维”，单击“确定”。
   图3 输入名称
   
5. 单击新建用户组右侧的“授权”。
   图4 授权
   
6. 在搜索框中搜索“vpc fullaccess”和“elb fullaccess”，勾选并单击“下一步”。
7. 选择授权范围方案为“区域项目”，并选择“华东-上海二”区域。
   

   • 如果员工还需要查看资源的消费情况，请在同区域选择“bss administrator”权限。
   • 如果您参考表1，将员工配置为安全域运维负责人，由于安全域与其他服务存在业务交互关系，授权时，必须同时添加依赖的其他服务的权限，方法请参见：。

步骤2：创建iam用户

1. 在统一身份认证服务，左侧导航中，单击“用户”>“创建用户”。
2. 配置基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。
   图5 配置用户信息
   
   

   • 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
   • 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。

   表2 用户信息

   用户信息	说明
   用户名	必填。iam用户登录华为云的用户名，此处以“james”和“alice”为例。
   邮件地址	“访问方式”选择“首次登录时设置”时必填，选择其他时选填。iam用户绑定的邮件地址，可作为子账户的登录凭证，也可由iam用户自己绑定。
   手机号	选填。iam用户绑定的手机号，可作为子账户的登录凭证，也可由iam用户自己绑定。
   描述	选填。记录iam用户相关信息。

   图6 配置访问方式
   
   • 编程访问：为iam用户启用访问密钥或密码，支持用户通过api、cli、sdk等开发工具访问华为云服务。
   • 管理控制台访问：为iam用户启用密码，支持用户登录华为云管理控制台访问云服务。
     

     • 如果iam用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。
     • 如果iam用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。
     • 如果iam用户需要使用密码作为编程访问的凭证（部分api要求），建议访问方式选择编程访问，凭证类型为密码。
     • 如果iam用户使用部分云服务时，需要在其控制台验证访问密钥（由iam用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如iam用户在控制台使用云数据迁移cdm服务创建数据迁移，需要通过访问密钥进行身份验证。

     表3 配置凭证类型和登录保护

     凭证类型与登录保护		说明
     访问密钥		创建用户完成后即可下载本次创建的所有用户的。 一个用户最多拥有两个访问密钥。
     密码	自定义	自定义用户密码，并选择用户首次登录时是否需要重置密码。 如果您是用户的使用主体，建议您选择该方式，设置自己的登录密码，且无需勾选首次登录时重置密码。
     	自动生成	系统自动生成iam用户的登录密码，创建完用户即可下载excel形式的密码文件。将密码文件提供给用户，用户使用该密码登录。 仅在创建单个用户时适用。
     	首次登录时设置	系统通过邮件发一次性登录链接给用户，用户登录控制台并设置密码。 如果您不是用户的使用主体，建议选择该方式，同时输入用户的邮件地址和手机，用户通过邮件中的一次性链接登录华为云，自行设置密码。该链接7天内有效。
     登录保护	开启登录保护（推荐）	开启登录保护后，iam用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高账号安全性。 您可以选择通过手机、邮箱、虚拟mfa进行登录验证。
     	不开启	创建完成后，如需开启登录保护，请参见：。

3. 单击“下一步”，将用户加入到用户组（可选）。
   • 将用户加入用户组，用户将具备用户组的权限。
   • 如需创建新的用户组，可单击“创建用户组”，填写用户组名称和描述（可选），创建成功后即可将用户加入到新创建的用户组中。
   

   • 如果该用户是管理员，可以将用户加入默认用户组“admin”中。
   • 一个用户可以同时加入多个用户组。
4. 单击“下一步”，iam用户创建完成，用户列表中显示新创建的iam用户。如果2勾选了“编程访问”，可在此页面下载访问密钥。
   图7 创建成功
   

步骤3：iam用户登录并验证权限

iam用户登录有多种方式，如下步骤仅讲述其中一种，更多登录方式请参见：。

1. 在华为云登录页面，单击右下角的“iam用户登录”。
2. 在“iam用户登录”页面，使用新创建的用户登录，输入账号名、用户名及用户密码。
   图8 iam用户登录
   
   • 账号名为该iam用户所属华为云账号的名称。
   • 用户名和密码为账号在iam创建用户时输入的用户名和密码。
3. 登录成功后，进入华为云控制台，请先切换至授权区域“华东-上海二”。

4. 在“服务列表”中选择虚拟私有云vpc、弹性负载均衡elb，云解析服务dns，可以进入这些服务的九游平台主页面并进行管理操作，权限配置成功。
5. 在“服务列表”中选择除以上服务外的任一服务，系统提示权限不足，权限配置成功。
6. 切换区域至除“华东-上海二”的任一区域，无法进入任何服务九游平台主页面，包括虚拟私有云vpc、弹性负载均衡elb，云解析服务dns，表示权限配置成功。