使用场景

用户管理与分权

场景描述

企业A的某个项目上云，购买了多种金山云资源。其团队成员或应用程序需要使用资源 ，每个团队成员的职责不同，需要的权限也不同。为了降低企业信息安全风险，企业管理员 A不希望共享其云账号的密码/访问密钥给所有需要的员工（等于授权所有操作权限）。 企业A有如下要求：

• 希望给每个员工能够完成其工作的最小管理权限的用户账号。
• 这些用户账号的权限可以灵活赋予和收回。
• 用户账号也可以被随时禁用或删除。

解决方案

您可以使用访问控制的用户管理功能，给员工或应用程序创建IAM子用户，并授予IAM子用户刚好完成工作所需的系统策略。IAM子用户支持以下2种方式访问金山云资源：

• 通过IAM子用户的用户名或密码登录金山云控制台。
• 为IAM子用户分配AK密钥，应用程序可以使用分配额AK密钥调用相关OPENAPI接口。

资源分组与授权

场景描述

企业A有多个项目同时上云，每个项目都会用到多种云资源。企业只有1个云账号，云账号下有上百个实例。企业A希望项目独立管理，每个管理员各自能够独立管理项目人员及其访问权限。

解决方案

您可以使用访问控制和项目管理的功能实现以上诉求：

1. 按照应用创建多个项目，将资源加入到对应项目中。

2. 创建IAM子用户，并将IAM子用户加入到对应的项目成员中。

3. 为IAM子用户授予工作所需的系统策略。授权后对应IAM子用户只能管理已加入的项目的资源。

   
   

跨帐号的资源操作与授权

场景描述

企业A购买了多种金山云资源来开展业务，例如：KEC实例、RDS实例、SLB实例和KS3存储空间等。企业A希望将部分业务授权给企业B。 企业A有如下要求：

• 企业A希望能专注于业务系统，仅作为资源Owner。企业A希望可以授权账号B来操作部分业务，例如：云资源运维、监控以及管理等。
• 企业A希望当企业B的员工加入或离职时，无需做任何权限变更。企业B可以进一步将企业A的资源访问权限分配给企业B的IAM用户（员工或应用），并可以精细控制其员工或应用对资源的访问和操作权限。
• 企业A希望如果双方合同终止，企业A随时可以撤销企业B的授权。

解决方案

访问控制的角色管理支持授权其他云账号通过角色扮演方式访问控制台:

1. 企业A在其云账号下创建一个IAM角色，并为IAM角色授予合适的权限，允许金山云账号B使用该角色。
2. 企业B在其云账号下创建一个子用户。并且给子用户添加扮演/切换角色的权限 。
3. 企业B的员工可以使用子用户登录控制台，切换角色操作企业A授权的资源。
4. 如果双方合同终止，企业A只需要撤销企业B的云账号对IAM的角色使用权限。撤销后，企业B的下的所有子用户对IAM角色使用的权限将自动撤销