UCS为用户提供细粒度的权限管理功能,帮助用户便捷灵活的对租户下的IAM用户组设置不同的集群操作权限,结合工作空间和集群组设计,可实现企业不同部门或项目之间的权限隔离。管理员通过进行用户组的划分,可以把相同权限的IAM用户集中管理,提高权限管理的效率。
例如某公司同时推进两个项目,每个项目组中有多名成员,权限分配如图1所示。
- 项目组A在开发过程中需要集群组1、2的读写权限以及集群组3的只读权限,因此可以为项目组A设置拥有读写权限的工作空间并关联集群组1、2,同时设置拥有只读权限的工作空间并关联集群组3。
- 项目组B在开发过程中需要集群组1、3的读写权限以及集群组2的只读权限,因此可以为项目组B设置拥有读写权限的工作空间并关联集群组1、3,同时设置拥有只读权限的工作空间并关联集群组2。
本文以新建IAM用户及用户组为例,帮助您快速了解如何配置UCS权限。
图1 权限设计
前提条件
帐号已开通UCS服务,并已添加一个集群。
步骤一:创建IAM用户并授权
1、使用管理员帐号登录IAM控制台。
2、左侧导航窗格中选择“用户组”,单击页面右上角“创建用户组”。如已创建用户组,请直接进行4中的用户组授权。
图2 创建用户组
3、在“创建用户组”界面,输入用户组名称及描述,单击“确定”,完成用户组创建。
图3 输入用户组信息
4、在用户组列表中,单击目标用户组右侧的“授权”按钮。
图4 授权
5、搜索并选择“Tenant Administrator”角色。
图5 勾选策略
6、单击“下一步”,选择授权范围方案。
选择“所有资源”,不设置最小授权范围,用户可根据权限使用帐号中所有资源,包括企业项目、区域项目和全局服务资源。
7、单击“确定”完成授权,授权后可能需等待15-30分钟才可生效。
8、左侧导航窗格中选择“用户”,单击页面右上角“创建用户”,新建一个IAM用户。
9、单击“下一步”,选择加入4中已授权的用户组。
图6 加入用户组
10、单击“创建用户”。
步骤二:创建工作空间并关联集群组
1、登录UCS控制台,在左侧导航栏中单击“权限管理”。
2、单击右上角的“创建工作空间”按钮。
3、在弹出页面中填写工作空间的关联项,如图7所示。
图7 创建工作空间
- 工作空间名称:自定义工作空间的名称,需以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾。
- 用户组:选择工作空间关联的用户组。工作空间创建完成后,关联的用户组将无法修改。
- 权限模板:默认不使用权限模板,您也可以选择UCS的默认权限模板或自定义模板。
4、单击“确定”,创建工作空间。
5、单击新建工作空间栏的“关联集群组”按钮。
6、在弹出页面的集群组列表中勾选需要关联的集群组。UCS默认创建一个default集群组,该集群组中包含所有集群。
7、单击“确定”。完成后,使用该IAM用户登录UCS控制台可使用权限范围内的功能。
