11.1 创建用户并授权使用通信云服务
如果您需要对您所拥有的通信云服务进行精细的权限管理,您可以使用统一身份认证 服务(Identity and Access Management,简称IAM),通过IAM,您可以:
● 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建 IAM用户,让员工拥有唯一安全凭证,并使用通信云服务资源。
● 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。
● 将通信云服务资源委托给更专业、高效的其他华为云账号或者云服务,这些账号 或者云服务可以根据权限进行代运维。
如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章 节,不影响您使用通信云服务的其它功能。
本章节通过简单的用户组授权方法,操作流程如图11-1所示。
前提条件
给用户组授权之前,请您了解用户组可以添加的通信云服务权限,并结合实际需求进 行选择,通信云服务支持的系统权限,请参见:通信云系统权限。若您需要对除通信 云之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。
说明
进行用户组授权时,“作用范围”需要选择“区域级项目”,设置权限时:
● 若在指定区域(如华北-北京一)对应的项目(cn-north-1)中设置相关权限,则该权限仅对 此项目生效;IAM用户登录控制台后,需要切换至指定授权区域(如华北-北京一)进行验 证;
用户指南 11 权限管理
示例流程
图11-1 给用户授权隐私保护通话服务权限流程
1. 创建用户组并授权
在IAM控制台创建用户组,并授予隐私保护通话服务执行权限“RTC Administrator”。
2. 创建用户并加入用户组
在IAM控制台创建用户,并将其加入1中创建的用户组。
3. 用户登录并验证权限
新创建的用户登录控制台,验证隐私保护通话服务的执行权限。
– 在“服务列表”中选择“隐私保护通话”,进入隐私保护通话主界面,选择
“应用管理”,单击右上角“添加应用”,若可以添加应用,表示“RTC Administrator”已生效。
– 在“服务列表”中选择除隐私保护通话服务外的任一服务,若提示权限不 足,表示“RTC Administrator”已生效。
11.2 策略及授权项说明
如果您需要对您所拥有的通信云服务进行精细的权限管理,您可以使用统一身份认证 服务(Identity and Access Management,简称IAM),如果账号已经能满足您的要 求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用通信云服务的其 它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授 予策略,才能使用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,
用户就可以基于策略对云服务进行操作。
根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种
说明
如果您需要允许或者禁止某个接口的操作权限,请使用策略。
账号具备所有接口的调用权限,如果使用账号下的IAM用户发起API请求时,该IAM用 户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权 限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的 策略,该用户才能成功调用该接口。例如,用户要调用接口来查询号码订购列表,那 么这个IAM用户被授予的策略中必须包含允许
“privatenumber:numberSubscribe:query”的授权项,该接口才能调用成功。
支持的授权项
授权项列表说明如下:
● 权限:允许或拒绝某项操作。
● 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,
可以实现授权项对应的权限功能。
● IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括 IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项 对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如 果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如 果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区 别,详情请参见:IAM与企业管理的区别。
通信云服务支持的自定义策略授权项如授权项列表所示:
说明
“√”表示支持,“x”表示暂不支持。
表11-1 授权项列表
权限 授权项(Action) IAM项目
(Project) 企业项目 (Enterprise Project) 批量退订号码 privatenumber:numberUnsu
bscribe:create √ × 查询号码 privatenumber:number:quer
y √ ×
查询号码绑定个
数 privatenumber:numberBind:
query √ ×
绑定AX业务号码 privatenumber:numberAx:bi
nd √ ×
绑定AXB业务号
码 privatenumber:numberAxb:
bind √ ×
用户指南 11 权限管理
权限 授权项(Action) IAM项目
(Project) 企业项目 (Enterprise Project) 解绑号码 privatenumber:number:unbi
nd √ ×
提交号码转移任
务 privatenumber:transfer:crea
te √ ×
查询号码转移任
务 privatenumber:transfer:quer
y √ ×
下载号码 privatenumber:number:dow
nload √ ×
API查询号码订
购/退订订单 privatenumber:numberOrde
r:apiQuery √ ×
API新增订购号
码订单 privatenumber:numberSubs
cribe:apiCreate √ × API新增号码退
订订单
privatenumber:numberUnsu
bscribe:apiCreate √ × 查询黑名单号码 privatenumber:blackList:que
ry √ ×
增加黑名单号码 privatenumber:blackList:cre
ate √ ×
删除黑名单号码 privatenumber:blackList:del
ete √ ×
设置共享秘钥 privatenumber:shareKey:set √ × 查询资源实例 privatenumber:resources:list √ × 修改资源标签 privatenumber:resources:mo
dify √ ×
查询资源标签 privatenumber:resources:qu
ery √ ×
查询号码退订信
息 privatenumber:numberUnsu
bscribe:query √ × 下载退订号码 privatenumber:numberUnsu
bscribe:download √ × 上传退订号码 privatenumber:numberUnsu
bscribe:upload √ × 查询号码需求信
息 privatenumber:numberRequ
ire:query √ ×
权限 授权项(Action) IAM项目
(Project) 企业项目 (Enterprise Project) 创建号码订购申
请 privatenumber:numberSubs
cribe:create √ × 修改号码订购申
请 privatenumber:numberSubs
cribe:modify √ × 取消号码订购申
请 privatenumber:numberSubs
cribe:cancel √ × 导出订购号码 privatenumber:numberSubs
cribe:export √ × 导入订购号码 privatenumber:numberSubs
cribe:import √ × 查询应用 privatenumber:app:query √ √ 创建应用 privatenumber:app:create √ √ 修改应用 privatenumber:app:modify √ √ 启用默认放音文
件 privatenumber:voiceDefault:
use √ ×
查询放音文件 privatenumber:voice:query √ × 新增放音文件 privatenumber:voice:create √ × 下载放音文件 privatenumber:voice:downlo
ad √ ×
删除放音文件 privatenumber:voice:delete √ × 修改号码短信能
力 privatenumber:smsEnable:m
odify √ ×
查询号码短信能 力
privatenumber:smsEnable:q
uery √ ×
查询企业 privatenumber:enterprise:qu
ery √ ×
增加企业 privatenumber:enterprise:cr
eate √ ×
修改企业 privatenumber:enterprise:m
odify √ ×
下载企业资料 privatenumber:enterprise:do
wnload √ ×
上传企业资料 privatenumber:enterprise:up
load √ ×
用户指南 11 权限管理
权限 授权项(Action) IAM项目
(Project) 企业项目 (Enterprise Project) 删除企业 privatenumber:enterprise:de
lete √ ×
查询城市信息 privatenumber:city:query √ × 查询呼叫详单 privatenumber:callBill:query √ × 下载呼叫录音文
件 privatenumber:callBill:down
load √ ×
查询绑定详单 privatenumber:bindBill:quer
y √ ×
查询短信详单 privatenumber:smsBill:query √ × 查询呼叫统计数
据 privatenumber:callStat:quer
y √ ×
导出呼叫统计数
据 privatenumber:callStat:expo
rt √ ×
查询短信统计数
据 privatenumber:smsStat:quer
y √ ×
导出短信统计数
据 privatenumber:smsStat:exp
ort √ ×
查询绑定统计数 据
privatenumber:bindStat:que
ry √ ×
导出绑定统计数 据
privatenumber:bindStat:exp
ort √ ×
查询开发者 privatenumber:developer:qu
ery √ ×
查询企业项目 privatenumber:epsProject:q
uery √ ×
开通服务 privatenumber:order:create √ × 查询调研表 privatenumber:survey:query √ × 查询租户订单状
态 privatenumber:order:query √ × 检查用户状态 privatenumber:tenant:query √ × 发送验证码 privatenumber:verifyCode:se
nd √ ×
查询租户余额信 privatenumber:balances:que √ ×
权限 授权项(Action) IAM项目
(Project) 企业项目 (Enterprise Project) 查询租户优惠信
息 privatenumber:discount:que
ry √ ×
查询催审配置 privatenumber:urgeConfig:q
uery √ ×
催审业务 privatenumber:urge:create √ × 添加联系人 privatenumber:contact:creat
e √ ×
修改联系人 privatenumber:contact:modi
fy √ ×
查询联系人 privatenumber:contact:quer
y √ ×
删除联系人 privatenumber:contact:delet
e √ ×
实现此配置需创建两个自定义策略:IAM自定义策略和企业项目管理自定义策略。
1. 登录华为云,在右上角单击“控制台”。
5. 选择“作用范围”,即自定义策略的生效范围,根据服务的部署区域选择,详情 请参考:系统权限。由于通信云服务属于项目级服务,作用范围必须选择“项目 级服务”。
– 全局级服务:系统权限中该服务的“所属区域”为“全局区域”,表示该服 务为全局级服务。创建全局级服务的自定义策略时,作用范围选择“全局级 服务”。给用户组授予该自定义策略时,需要在全局区域中进行。
– 项目级服务:系统权限中该服务的“所属区域”为“除全局区域外其他区 域”,表示该服务为项目级服务。创建项目级服务的自定义策略时,作用范 围选择“项目级服务”。给用户组授予该自定义策略时,需要在除全局区域 外其他区域中进行。
6. “策略配置方式”选择“可视化视图”。
7. 在“策略内容”下配置策略。
a. 选择“允许”。
b. 选择“云服务”。
说明
此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置 后,单击“添加权限”,创建多个服务的授权语句。
c. 选择“操作”,根据需求勾选产品权限,授权项列表请参考授权项列表。
i. IAM项目自定义策略勾选不支持企业项目的权限,如下图所示。
ii. 企业项目自定义策略勾选支持企业项目的权限,如下图所示。
8. 输入“策略描述”(可选)。
9. 单击“确定”,自定义策略创建完成。
10. 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权 限。
– 在IAM中为用户组添加策略,具体操作请参考创建用户组并授权。
– 在企业管理中为用户组添加策略,具体操作请参考为企业项目添加用户组。
用户指南 11 权限管理