使用场景

最近更新时间:2021-06-01 18:38:19

查看PDF

用户管理与分权

场景描述

企业A的某个项目上云,购买了多种金山云资源。其团队成员或应用程序需要使用资源 ,每个团队成员的职责不同,需要的权限也不同。为了降低企业信息安全风险,企业管理员 A不希望共享其云账号的密码/访问密钥给所有需要的员工(等于授权所有操作权限)。 企业A有如下要求:

  • 希望给每个员工能够完成其工作的最小管理权限的用户账号。
  • 这些用户账号的权限可以灵活赋予和收回。
  • 用户账号也可以被随时禁用或删除。

解决方案

您可以使用IAM用户管理功能,给员工或应用程序创建IAM子用户,并授予IAM子用户刚好完成工作所需的系统策略。IAM子用户支持以下2种方式访问金山云资源:

  • 通过IAM子用户的用户名或密码登录金山云控制台。
  • 为IAM子用户分配AK密钥,应用程序可以使用分配额AK密钥调用相关OPENAPI接口。

资源分组与授权

场景描述

企业A有多个项目同时上云,每个项目都会用到多种云资源。企业只有1个云账号,云账号下有上百个实例。企业A希望项目独立管理,每个管理员各自能够独立管理项目人员及其访问权限。

解决方案

您可以使用IAM访问控制和项目管理的功能实现以上诉求:

  1. 按照应用创建多个项目,将资源加入到对应项目中。

  2. 创建IAM子用户,并将IAM子用户加入到对应的项目成员中。

  3. 为IAM子用户授予工作所需的系统策略。授权后对应IAM子用户只能管理已加入的项目的资源。


跨帐号的资源操作与授权

场景描述

企业A购买了多种金山云资源来开展业务,例如:KEC实例、RDS实例、SLB实例和KS3存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求:

  • 企业A希望能专注于业务系统,仅作为资源Owner。企业A希望可以授权账号B来操作部分业务,例如:云资源运维、监控以及管理等。
  • 企业A希望当企业B的员工加入或离职时,无需做任何权限变更。企业B可以进一步将企业A的资源访问权限分配给企业B的IAM用户(员工或应用),并可以精细控制其员工或应用对资源的访问和操作权限。
  • 企业A希望如果双方合同终止,企业A随时可以撤销企业B的授权。

解决方案

IAM角色管理支持授权其他云账号通过角色扮演方式访问控制台:

  1. 企业A在其云账号下创建一个IAM角色,并为IAM角色授予合适的权限,允许金山云账号B使用该角色。
  2. 企业B在其云账号下创建一个子用户。并且给子用户添加扮演/切换角色的权限 。
  3. 企业B的员工可以使用子用户登录控制台,切换角色操作企业A授权的资源。
  4. 如果双方合同终止,企业A只需要撤销企业B的云账号对IAM的角色使用权限。撤销后,企业B的下的所有子用户对IAM角色使用的权限将自动撤销

文档内容是否对您有帮助?

根本没帮助
文档较差
文档一般
文档不错
文档很好

在文档使用中是否遇到以下问题

内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长

更多建议

0/200

评价建议不能为空

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

问题反馈