云服务器内容精选

华为云首页用户手册

用户组及授权

统一身份认证服务 IAM-创建用户组并授权:给用户组授权

给用户组授权以下步骤仅适用于给用户组新增权限。如需移除权限，请参见：移除用户组权限。在用户组列表中，单击新建用户组右侧的“授权”。图2 进入用户组权限设置页面在用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。图3 选择权限选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。表1 授权范围方案可选方案方案说明所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。指定企业项目资源选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。指定区域项目资源选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。单击“确定”，完成用户组授权。表2为常用权限，完整的权限列表请参见：系统权限。当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。更多有关权限的使用建议请参见：多运维人员权限设置案例、依赖角色的授权方法、自定义策略使用样例。表2 常用权限权限需要授予的策略权限说明授权范围总负责人 FullAccess 支持基于策略授权服务的所有权限所有资源管理资源 Tenant Administrator 除IAM外，其他所有服务的管理员权限所有资源查看资源 Tenant Guest 所有资源的只读权限所有资源管理IAM用户 Security Administrator IAM的管理员权限全局服务资源管理费用 BSS Administrator 费用中心的管理员权限，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。说明：授权时，需要授予所有区域的“BSS Administrator”权限。指定区域项目资源计算域运维 ECS FullAccess 弹性云服务器的管理员权限指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限指定区域项目资源 CCI FullAccess 云容器实例管理员权限指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限指定区域项目资源 IMS FullAccess 镜像服务的管理员权限指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限指定区域项目资源网络域运维 VPC FullAccess 虚拟私有云的管理员权限指定区域项目资源 ELB FullAccess 弹性负载均衡的管理员权限指定区域项目资源数据库运维 RDS FullAccess 云数据库的管理员权限指定区域项目资源 DDS FullAccess 文档数据库服务的管理员权限指定区域项目资源 DDM FullAccess 分布式数据库中间件的管理员权限指定区域项目资源安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的管理员权限指定区域项目资源 AAD Administrator DDoS高防服务的管理员权限指定区域项目资源 WAF Administrator Web应用防火墙的管理员权限指定区域项目资源 VSS Administrator 漏洞扫描服务的管理员权限指定区域项目资源 CGS Administrator 容器安全服务的管理员权限指定区域项目资源 KMS Administrator 数据加密服务的管理员权限指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限指定区域项目资源 SES Administrator 安全专家服务的管理员权限指定区域项目资源 SC Administrator SSL证书管理服务的管理员权限指定区域项目资源

统一身份认证服务 IAM 用户组及授权