授权 | 大装置帮助中心
跳到主要内容

授权

一、基于角色的访问控制

授权生效范围

授权生效范围是授权策略生效适用于的资源集范围,授权时需要先指定本次授权允许的作用范围。不同的授权生效范围将对应不同的可绑定角色。各个生效范围之间权限相互隔离,若要同时对多个生效范围进行授权,请分多次进行。

大装置授权可生效范围当前分为如下四种:

  • 资源管理:权限将在管理组、订阅、资源组、资源这四个层级中的具体某一个实例范围内生效。
  • 所有用户和用户组:权限将对所有用户和用户组生效。
  • 费用管理:权限将对费用管理范围中的计费账户、订单和账单生效。
  • 审计服务:权限将对云审计服务中的审计日志生效。


其中,资源管理范围分为管理组、订阅、资源组、资源四个可作用层级,详细介绍请参考 [资源管理介绍](../../rm/intro.md)。其中,管理组为最高层级,具体的资源实例为最低层级。当角色授权在某个管理组上时,将根据同时对该管理组下的订阅、资源组和具体资源实例生效。

授权主体

授权主体是角色权限的使用对象,包含用户和用户组两种实体身份类型。授权时,可以对多个用户或用户组进行授权。 对用户组授权后,该用户组内的所有组成员都将继承该用户组拥有的角色权限。

角色

大装置访问控制中,角色是一组权限的集合。角色会在租户维度列出对象可执行的一系列具体权限。角色可以是高级别的(比如管理员)也可以是特定的(比如针对某一些资源)。 大装置中包含了许多系统定义好的内置角色,内置角色由平台统一创建和维护,用户不可修改但可以在授权时直接使用。若要为用户绑定角色,可以点击 大装置内置角色看某个角色包含的具体权限。

您还可以根据实际需求,组合系统定义的权限项,创建自定义角色。自定义角色支持您自主创建与管理,当前仅限租户管理员、用户管理员可进行创建和修改。您可以点击角色管理查看详细的创建流程与操作指引。

二、基本操作

IAM 用户要访问相应的大装置资源,需要先被授权相关角色。授权方式包括:直接为 IAM 用户授权继承用户组权限

操作步骤

方式一:直接为 IAM 用户授权

您可以直接为 IAM 用户授权相应角色以获得访问某种资源的权限。

在授权页面授权

  1. 登录大装置控制台。
  2. 在顶部导航栏,选择【用户】>【授权管理】>【授权】,进入授权页。
  3. 单击【添加授权】,进入添加授权页面。

  1. 在添加授权页面,为 IAM 用户添加授权。

    i.指定授权生效范围。

    • 说明:当选择的生效范围为资源管理时,需要具体指定一个资源层级对象。可以是某个管理组、订阅或资源组,也可以是某个具体资源实例。

      ii. 单击【下一步】,选择授权主体和角色.

      iii.输入并选择授权主体。

      • 说明:授权主体包括需要被授权的 IAM 用户和用户组。单次最多选择 20 个主体,若需要为更多用户或用户组授权,请合理使用用户组或分多次操作。

      iv. 选择绑定角色。

    • 说明:单次最多绑定 20 个角色,若需要绑定更多角色,请分多次操作。

      v. 单击【确认授权】。 vi. 单击【完成】。

在角色管理页面授权

仅租户管理员、用户管理员可操作

  1. 登录大装置控制台。
  2. 在顶部导航栏,选择【用户】>【角色管理】进入角色管理页。
  3. 选中角色后单击【添加授权】进入授权页,并按上述步骤完成授权。

alt text

在资源管理页面授权

  1. 登录大装置控制台。
  2. 在顶部导航栏,选择【资源】>【资源管理】,根据需要授权的资源对象进入其资源管理详情页。

  1. 在对象的授权管理菜单页中,单击【添加授权】进入授权页,并按上述步骤完成授权。

方式二:继承用户组权限

您可以将 IAM 用户添加至用户组,IAM 用户将自动继承该用户组所拥有的角色,通过此种方法获得的权限为继承权限。如果 IAM 用户被移出用户组,继承的权限将对应失效。

在用户详情页面添加组成员
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择【用户】 > 【用户管理】,进入用户列表页。
  3. 单击右侧操作栏的【添加到组】,选择需要添加的用户组。
  4. 单击【确定】,将用户添加到组并继承组权限。
  • 说明:若用户被移出用户组,其继承用户组的权限也将失效。
在用户组页面添加组成员
  1. 登录大装置控制台。
  2. 在顶部导航栏,选择【用户】 > 【用户组管理】,进入用户组列表页。
  3. 单击右侧操作栏的【添加成员】,选择需要继承该用户组权限的用户。
  4. 单击【确定】,将用户添加到组并继承组权限。