当其他帐号与您创建了委托关系,即您是被委托方,默认情况下只有较大权限的用户(帐号本身以及admin用户组中的成员)可以管理委托资源,如果您需要普通IAM用户帮助您管理委托,可以将管理委托的权限分配给IAM子用户。
如果您有多个委托关系,可以授予IAM用户较大的委托权限,即管理所有的委托,也可以授予IAM用户精细的权限,仅管理指定的委托,即IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托,您可以创建细粒度的委托权限,授权IAM用户管理指定的委托。
前提条件
已有天翼云账号与您创建了委托关系。
您已经获取到委托方的账号名称、所创建的委托名称以及委托ID。
操作步骤
步骤 1 创建用户组并授权。
被委托方使用天翼云帐号登录天翼云官网。
单击首页顶部控制台,在控制中心页面“管理与部署”分类中,单击“统一身份认证服务”。
在统一身份认证服务左侧导航窗格中,单击“用户组”。
在“用户组”界面中,单击“创建用户组”,在跳转页面中再次单击“创建用户组”。
在弹出框中输入“用户组名称”、“描述”。
单击“确定”,返回统一身份认证服务的用户组列表页面,用户组列表中显示新创建的用户组。
单击新建用户组右侧的“授权”。8.创建自定义策略。
创建自定义策略。
说明:如果需要授予IAM用户精细的委托权限,仅管理指定的委托,请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权,授予IAM用户管理所有的委托权限,请跳过该步骤,直接执行下一步骤。
在选择策略页面,单击权限列表右上角“新建策略”。
输入“策略名称”。
“策略配置方式”选择“JSON视图”。
在“策略内容”区域,填入以下内容:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:tokens:assume" ], "Resource": { "uri": [ "/iam/agencies/agencyTest" ] }, "Effect": "Allow" } ] }说明:
"agencyTest"需要替换为待授权委托的Name,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。
本文简要讲述快速完成委托细粒度授权的必要操作,更多权限内容,详情请参考“权限管理”章节。
单击“下一步”,继续完成授权。
选择上一步创建的自定义策略或者“Agent Operator”权限,单击“下一步”。
自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
“Agent Operator”权限:用户可以管理所有委托。
选择授权范围方案。
单击“确定”,用户组授权完成。
步骤 2 创建IAM用户并加入用户组。
在统一身份认证服务左侧导航菜单中,单击“用户”
在“用户”界面,单击“创建用户”。在跳转页面中再次单击“创建子用户”。
在弹出的“创建子用户”对话框,输入“邮箱”、“用户名”、“手机号”等用户基本信息。
在“所属用户组”的下拉框中,选择步骤1中创建的用户组。
单击“创建”,完成IAM子用户创建。