華為云資源IAM精細(xì)控制權(quán)限實踐

一、案例背景：

如果你的華為云賬號下有很多資源，不同資源需要對應(yīng)職責(zé)的工程師進(jìn)行管理，并且希望他們之間的權(quán)限彼此隔離，那么可以使用IAM功能進(jìn)行權(quán)限的管理。

二、實現(xiàn)步驟

2.1登錄IAM

首先我們需要登錄IAM控制臺，登錄地址：

https://www.huaweicloud.com/product/iam.html

點擊下圖立即使用即可進(jìn)入后臺，本服務(wù)免費使用。

2.2創(chuàng)建用戶組

填寫用戶組名稱后，點擊確定，完成創(chuàng)建，如下圖

2.3配置用戶組權(quán)限

在這里可以設(shè)置策略的生效邊界：

全局服務(wù)

包括對象存儲服務(wù)（OBS）、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）、標(biāo)簽管理服務(wù)（TMS）等。

區(qū)域級項目

基于區(qū)域（如華北-北京四、華南-廣州等）進(jìn)行部署的服務(wù)，可選擇對如下區(qū)域項目進(jìn)行授權(quán)

此處，以限制北京四區(qū)域為例，選擇如下：

選擇彈性云服務(wù)器

選擇普通用戶/管理員用戶等，以下為普通用戶，可以展開查看代碼，都有哪些具體可執(zhí)行權(quán)限。普通用戶不具備創(chuàng)建、刪除云服務(wù)器等權(quán)限。稍后我們進(jìn)行驗證。點擊確認(rèn)完成創(chuàng)建。

2.4創(chuàng)建用戶

創(chuàng)建用戶，填寫必填信息后，如用戶名郵箱，設(shè)置訪問方式，建議控制臺登錄密碼設(shè)置方式選擇“首次登陸時設(shè)置”，這樣的好處在于，操作者可以自定義設(shè)置喜歡的密碼組合。如果你需要統(tǒng)一分配，則可以選擇“自定義”

為了方便演示，我這里選擇自定義。這里還有一個可選項，是否首次登陸需要重置密碼，登陸保護(hù)等等。

勾選本次的用戶組后，點擊創(chuàng)建用戶。等待創(chuàng)建完畢。

注意：

需要注意的是，如果之前的郵箱已經(jīng)被華為云賬號使用過，則IAM賬號無法使用，建議申請使用IAM使用者的郵箱。

三、測試用戶登錄驗證

3.1 IAM登錄

登錄地址為https://auth.huaweicloud.com/authui/login?id=xxx

Id=后面的字符為主賬號賬戶名，每個用戶都是不同的，此處我用xxx代替?；蛘吣氵€可以使用下圖方式，點擊IAM賬號登錄的方式進(jìn)行登錄，只不過是前者自動已經(jīng)把主賬號給你填充，后者需要你手動輸入。

3.2測試查看主賬號信息

登錄后，比如想要查看主賬號的信息，發(fā)現(xiàn)沒有權(quán)限：

3.3測試查看北京一ECS

我們嘗試將云服務(wù)器ECS資源控制臺切換到北京一，發(fā)現(xiàn)也是無權(quán)限

3.4測試查看北京四ECS

切換至北京四，可以看到云服務(wù)器資源，并且我們可以實現(xiàn)云服務(wù)器的一些基礎(chǔ)操作，比如開關(guān)機，登錄等。

四、結(jié)論

以上驗證授予特定成員，訪問特定地域的特定資源，并授予相應(yīng)的權(quán)限配置實踐成功。你還可以設(shè)置如下的資源。

1.設(shè)置彈性云服務(wù)器（ECS）的權(quán)限

2.設(shè)置彈性負(fù)載均衡（ELB）的權(quán)限

3.設(shè)置關(guān)系型數(shù)據(jù)庫（RDS）的權(quán)限

4.設(shè)置云硬盤（EVS）的權(quán)限

5.設(shè)置云監(jiān)控（CES）的權(quán)限

6.設(shè)置云容器引擎（CCE）的權(quán)限

7.設(shè)置對象存儲服務(wù)（OBS）的權(quán)限

8.設(shè)置云服務(wù)器備份（CSBS）的權(quán)限

9.設(shè)置虛擬私有云（VPC）的權(quán)限

10.設(shè)置分布式緩存服務(wù)（DCS）的權(quán)限

11.設(shè)置文檔數(shù)據(jù)庫服務(wù)（DDS）的權(quán)限

12.設(shè)置費用中心的權(quán)限

本文僅作為一個引子，其余的配置方式大相近同。感謝閱讀。