华为云用户手册

查看策略内容 在左侧导航栏选择“用户组”，单击需授权的用户组“操作”列下的“授权”。 给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“ IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ] }

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

权限 IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，IAM用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对E CS 服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示，如果您授予IAM用户弹性 云服务器ECS 的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图7 系统提示没有权限

IAM的使用对象 IAM的使用对象为管理员： 账号：账号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 推荐您在使用IAM前，开通云审计服务CTS，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：IAM支持审计的关键操作。

用户组 用户组是用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限，可以基于权限对云服务进行操作。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图6 用户组

定期修改身份凭证 如果您不知道自己的密码或访问密钥已泄露，定期进行修改可以将不小心泄露的风险降至最低。 定期轮换密码可以通过设置密码有效期策略进行，您以及您账号中的用户在设置的时间内必须修改密码，否则密码将会失效，IAM会在密码到期前15天开始提示用户修改密码。 轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。

开启虚拟MFA功能 Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。

在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证，可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥，需要在IAM上对ECS授权，并对相应的弹性云服务器资源进行授权委托管理。ECS通过向IAM申请指定委托的临时凭证，从而安全访问资源。ECS会为您自动轮换这些临时凭证，从而确保每次申请的临时凭证安全、有效。 当您启动ECS实例时，您可指定实例的委托，以作为启动参数。在ECS实例上运行的应用程序在访问华为云资源时可使用委托的临时访问密钥，同时委托的权限将确定允许访问资源的应用程序。

不给华为账号创建访问密钥 华为账号是您华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是账号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高账号安全性，建议您仅使用密码登录控制台即可，不要给账号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。

合理设置访问方式 IAM支持为用户设置编程访问、管理控制台访问方式，请参考如下说明为IAM用户设置访问方式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。

常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器（ECS）的权限 设置弹性负载均衡（ELB）的权限 设置关系型数据库（RDS）的权限 设置云硬盘（EVS）的权限 设置 云监控 （ CES ）的权限 设置云容器引擎（CCE）的权限 设置对象存储服务（OBS）的权限 设置云备份（CBR）的权限 设置虚拟私有云（VPC）的权限 设置分布式缓存服务（DCS）的权限 设置文档数据库服务（DDS）的权限 设置费用中心的权限 设置提交工单的权限

步骤五：IAM用户登录控制台 IAM用户Alice可以在2025年3月8日上午8时05分22秒至2025年3月9日上午8时05分22秒之间登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“IAM用户密码”。 图15 IAM用户登录 表5 登录信息 参数 示例 说明 租户名/原华为云账号名 Company-A IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。 IAM用户名/邮件地址 Alice 在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道IAM用户名及初始密码，请向管理员获取。 IAM用户密码 ******** IAM用户的密码，非账号密码。此处需要输入上一步中下载的Alice用户的密码。 单击“登录”，IAM用户Alice登录华为云。 若在上述时间范围之外登录并访问 统一身份认证 服务，将无法创建IAM用户。

步骤三：为IAM用户组授权 在用户组列表中，单击新建用户组“Group”右侧的“授权”。 图5 授权 在用户组选择策略页面中，勾选步骤一创建的策略“example-policy”。单击“下一步”。 图6 选择权限 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后，IAM用户可以根据权限使用账号中所有资源，包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 说明： 不支持选择专属云DEC的区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。

IAM用户访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在IAM控制台直接停用并删除IAM用户的访问密钥。如您无权限，请联系有IAM操作权限的管理员。具体操作请参见管理IAM用户的访问密钥。 场景二： 若确认访问密钥已经在使用中且可以直接轮转，请尽快轮转。 请先创建一个新的访问密钥并妥善保管（每个IAM用户最多只能创建两个访问密钥）。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后，在IAM控制台及时停用并删除原有的访问密钥。具体操作请参见管理IAM用户访问密钥。（访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除） 场景三： 若确认访问密钥在使用中且短期内无法轮转，为降低访问密钥泄露的影响，您可以按照如下步骤进行处置。完成后务必尽快轮转。 缩小访问密钥权限。 请根据您的实际业务诉求，尽快缩小疑似泄露访问密钥的权限，在不影响正常业务的情况下，禁止高危操作，避免核心资产受损。在访问密钥轮转后再解除该限制。 建议禁止的高危权限，例如： 禁止该IAM用户创建新的IAM用户和授权； 禁止计算资源实例的操作，如关闭ECS、BMS服务器等； 禁止存储资源实例的操作，如删除OBS桶、删除EVS云硬盘，删除RDS实例等； 禁止删除日志，如删除云日志LTS上的日志、删除CTS追踪器等。 具体操作，详见创建自定义策略、给IAM用户授权。 同时建议您明确实际业务需要的权限，将不需要的权限全部移除，确保当前针对该访问密钥的授权符合最小权限集的安全要求。 开启IAM用户的登录保护。 建议您为华为云账号下所有可访问控制台的IAM用户开启登录保护，并建议您设置验证方式为安全等级更高的虚拟MFA。 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。 检查是否存在访问密钥异常操作。 检查访问密钥是否存在异常操作行为，并排查是否有其他疑似泄露的访问密钥。 检查方式： 在CTS控制台的事件列表中，过滤筛选“操作用户”为疑似泄露访问密钥的用户，查看是否有异常操作行为。 除检查已知存在泄露风险的访问密钥之外，还需进一步排查是否还有其他IAM用户和访问密钥存在异常操作行为。若发现异常行为，建议与对应人员确认操作是否由本人执行。若排查发现存在疑似泄露风险，建议按以下方式处理： 疑似泄露的IAM用户如需继续使用，建议立即修改IAM用户密码并开启登录保护。 疑似泄露的IAM用户如果为非正常创建或闲置，可先将其禁用，确认对业务无影响后再进行删除。 如果访问密钥存在异常操作，参照上述方法先缩减权限后再进行轮转。 检查是否存在异常费用。 若在费用中心检查发现存在异常费用和账单，请结合上述操作实施防护措施。

华为 云安全 措施 华为云一直致力于保护您的云身份及云资源安全。当华为云发现您的访问密钥已经泄露，将通过您预留的联系方式及时通知您。为避免导致更大的资产损失，华为云有可能会采取限制该访问密钥的部分操作，如会限制该访问密钥创建的身份（如IAM用户、委托等），详情请参见访问密钥限制性保护说明。 请您务必及时关注短信、邮箱、电话等渠道的通知，并结合业务实际需求及时处置。同时，请及时关注您账号下的云资源情况，以免影响业务的正常运行。 华为云作为云服务提供商，无法也不可能掌握您全部访问密钥的安全现状。根据安全责任共担模型，云上的安全由您和华为云共同承担。其中访问密钥属于账号或IAM用户的访问凭证，相关安全责任完全由您负责，因此建议您妥善保管访问密钥。

华为云账号（主账号）访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在我的凭证页面直接停用并删除该访问密钥。 场景二： 若确认该访问密钥已经在使用中。请使用以下方案轮转访问密钥。 方案1：在我的凭证页面，请先为账号创建一个新的访问密钥并妥善保管。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后及时停用并删除原有的访问密钥。 方案2（推荐）：建议您创建一个IAM用户，为用户创建访问密钥并授予其业务必需的最小权限，使用该访问密钥代替主账号的访问密钥。同时，请停用并删除主账号的原访问密钥。 访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除。

应用场景 假如您是一位开发者，开发了一个应用程序，这个应用程序运行在ECS实例上，应用程序的代码中涉及调用API访问华为云服务。此时，因为华为云服务要求访问请求方出示访问凭证，所以您的API调用将会面临提供访问凭证的问题。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您的应用程序若想要以更安全的方式访问云服务，需要获取临时访问凭证，而IAM的委托功能，则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥 如图1所示，以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证，所以应用程序需要获得委托的临时访问密钥AK、SK。应用程序与ECS元数据服务通信，ECS元数据服务再与IAM通信，拿到临时AK、SK后返回给应用程序。然后，应用程序将临时AK、SK作为访问凭证出示给数据库服务，数据库服务收到请求后，先校验访问凭证是否合法，凭证通过校验后，ECS实例上的应用程序才能访问数据库服务。

解决方案 针对以上应用场景，可使用IAM对ECS云服务的委托来获取临时访问密钥。在IAM上对ECS云服务授权，并对应用程序所在的ECS实例进行授权委托管理。ECS实例获得委托权限之后，应用程序可申请指定委托的临时访问密钥，从而以临时访问密钥为凭证安全访问华为云资源。详细方案如下： 创建ECS云服务委托。账号在IAM控制台创建委托，指定委托对象为ECS云服务。委托创建时，选择权限策略，选择可访问的资源范围，不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托，一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后，就获得了委托权限。此时，ECS实例上运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互，交互行为遵循账号授予的权限策略和资源使用范围。

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图2 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图3 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务 （AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务（AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

操作流程 针对A公司的企业需求及其解决方案，按照如下流程构建项目团队、购买资源，实现企业项目管理。 图2 企业项目管理流程图 步骤1：开通并创建企业项目：开通企业项目，并在企业管理服务控制台创建企业项目。 步骤2：创建IAM用户及用户组：在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户，并将IAM用户加入用户组，实现人员分组。 步骤3：企业项目与IAM用户组关联授权：在统一身份认证服务控制台为各用户组授予应有的权限，并将其加入相应的企业项目，实现人员授权。 步骤4：购买资源并关联企业项目：在云服务控制台购买资源，并选择所属企业项目，实现资源隔离。 后续操作：企业项目管理：在企业管理服务控制台进行人员、资源、财务管理。

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图3 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图4 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

操作流程 以B账号将委托分配给IAM用户进行管理为例，说明使用IAM的用户授权功能，实现分配委托以及对委托进行精细授权的操作方法，委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤3创建的用户，使用“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 在控制台页面，右上方的用户名中，选择“切换角色”。 图1 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。

被委托方跨账号管理 当A账号与B账号创建委托关系后，即B账号为被委托方，B账号通过切换角色的方法，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取A账号的华为账号名称以及所创建的委托名称。 B账号登录华为云，进入控制台。 在右上方的用户名中，选择“切换角色”。 图3 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 图4 切换角色 单击“确定”，B账号切换至委托方A账号中，直接对A账号华东-上海一区域的VPC资源进行管理。

被委托方分配委托权限 以B账号将委托分配给IAM用户进行管理为例，实现分配委托以及对委托进行精细授权。委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。 B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 B账号在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤2创建的IAM用户，通过“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 IAM用户在控制台页面，右上方的用户名中，选择“切换角色”。 图5 切换角色 IAM用户在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。IAM用户可以对B账号分配委托权限的A账号资源进行管理操作。

解决方案 针对以上企业需求，可以使用IAM的委托功能来实现跨账号的资源授权与管理。 A账号在IAM控制台创建一个委托，指定委托的使用者为B账号，并将需要代运维的资源授权给这个委托。 B账号进一步授权，将A账号委托的资源分配给账号下专职管理委托的IAM用户，让IAM用户帮助管理。 当合作关系发生变更时，A账号随时可以修改或者删除这个委托，B账号以及账号下可以管理该委托的用户对该委托的使用权限将自动修改或者撤销。 图1 跨账号授权模型

步骤3：IAM用户登录并验证权限 IAM用户登录有多种方式，如下步骤仅讲述其中一种，更多登录方式请参见：登录华为云。 IAM用户James或Alice在华为云登录页面，单击右下角的“IAM用户登录”。 在“IAM用户登录”页面，输入A公司账号名Company-A、IAM用户名及用户密码。 账号名为该IAM用户所属华为云账号的名称。 用户名和密码为账号在IAM创建用户时输入的用户名和密码。 图12 IAM用户登录 登录成功后，IAM用户进入华为云控制台，请先切换至授权区域“华东-上海二”。 在“服务列表”中选择 虚拟私有云VPC 、弹性负载均衡ELB， 云解析服务DNS ，可以进入这些服务的主页面并进行管理操作，权限配置成功。 在“服务列表”中选择除以上服务外的任一服务，系统提示权限不足，权限配置成功。 切换区域至除“华东-上海二”的任一区域，无法进入任何服务主页面，包括虚拟私有云VPC、弹性负载均衡ELB，云解析服务DNS，表示权限配置成功。