账号管理实践 - 通过CAM实现按组织架构匹配权限

2022-11-16 13:06:36 浏览数 (2)

场景说明

  1. 管理员变更场景:账号管理员变更,除了账号、密码交接外,还需修改邮箱、手机。
  2. 细化分工场景:组织内部有多个不同的组织,不同的组织的职责范围不同,因此权限不同。例如网络工程师有网络方面的增删改权限,其他的工程师或用户不能对VPC、子网、ACL进行设置。
  3. 仅用CDC本地资源:在界面上仅适用CDC中的CVM、CBS资源,没有申请公有云中CVM、CBS的权限。

最佳实践

场景 1:管理员变更

修改手机号码:https://cloud.tencent.com/document/product/378/43092

修改邮箱:https://cloud.tencent.com/document/product/378/55645

场景 2:细化分工

管理方法

将专业组织对应到用户组,对用户组做权限配置。

将每个工程师对应到一个子账号,子账号关联到客户所在组织下,获得组织权限。

创建用户组

  1. 登录管理员账号,进入控制台的用户组模块 https://console.cloud.tencent.com/cam/groups
  2. 点击 新建用户组 按钮,填写用户组名,点击 下一步
  3. 关联策略,不同的组织权限不同,关联不同的策略,参考下面的几个最佳实践的配置。点击 下一步
  4. 点击 完成 ,用户组创建好了。可以把工程师的子账号加入到用户组中。

网络管理组织

  • QcloudVPCFullAccess:VPC完整权限,包含子网、ALC权限
  • QcloudDFWFullAccess:安全组完整权限
  • QcloudCLBFullAccess:负载均衡完整权限
  • QcloudCDCFullAccess:本地专用集群权限,CDC中有子网、本地路由的设置,需要权限
  • QcloudCVMReadOnlyAccess:CVM只读权限,用来做CVM实例的故障处理等
  • QcloudTAGFullAccess:标签完整权限
  • QcloudCamReadOnlyAccess:CAM只读权限
  • QcloudCVMFinanceAccess:财务权限

计算管理组织

  • QcloudCDCFullAccess:本地专用集群权限
  • QcloudCVMFullAccess:CVM完整权限,包含CBS、CLB、VPC、云监控的权限
  • QcloudDFWFullAccess:安全组完整权限
  • QcloudTAGFullAccess:标签完整权限
  • QcloudCamReadOnlyAccess:CAM只读权限
  • QcloudCVMFinanceAccess:财务权限

存储管理组织

  • QcloudCDCFullAccess:本地专用集群权限
  • QcloudCVMFullAccess:CVM完整权限,包含CLB、VPC、云监控的权限
  • QcloudDFWFullAccess:安全组完整权限
  • QcloudCOSFullAccess:对象存储完整权限
  • QcloudCFSFullAccess:文件存储完整权限
  • QcloudTAGFullAccess:标签完整权限
  • QcloudCamReadOnlyAccess:CAM只读权限
  • QcloudCVMFinanceAccess:财务权限

场景 3:仅使用CDC里的资源。

步骤一:配置权限,但是资源申请这里只配置只读权限。配置方法参考“场景 2:细化分工”的内容

  • QcloudCDCFullAccess:本地专用集群权限
  • QcloudCVMInnerReadOnlyAccess:CVM只读权限
  • QcloudDFWFullAccess:安全组完整权限
  • QcloudTAGFullAccess:标签完整权限
  • QcloudCamReadOnlyAccess:CAM只读权限
  • QcloudCVMFinanceAccess:财务权限
  • QcloudVPCReadOnlyAccess:VPC只读权限

步骤二:配置自定义策略,限制只能申请CDC里的资源

1. 打开策略模块 https://console.cloud.tencent.com/cam/policy

2. 点击 新建自定义策略 按钮,选择 按策略生成器创建

3. 配置的内容如下:

  • 效果:选择 允许
  • 服务:搜索 CVM,在搜索结果中选择 云服务器(CVM)
  • 操作:选择 写服务
  • 资源:选择 特定资源,选择最下面的 添加自定义资源六段式, 配置 6 条,服务、资源前缀、资源分别按如下配置
    • 服务:cvm 资源前缀:instance 资源:*
    • 服务:cvm 资源前缀:image 资源:*
    • 服务:cvm 资源前缀:systemdisk 资源:*
    • 服务:cvm 资源前缀:volume 资源:*
    • 服务:vpc 资源前缀:vpc 资源:*
    • 服务:vpc 资源前缀:subnet 资源:subnet-ado43th2

4. 填写 策略名称 ,点击 完成 按钮,完成设置。

5. 把这个策略添加到用户组中。 注:资源中,最后一条 “subnet-ado43th2” 的是子网 ID 示例,请自行在 CDC控制台的子网模块中查找( https://console.cloud.tencent.com/cdc/subnet )并替换这里的信息。如果有多个子网,那么添加多条。

0 人点赞