最佳实践
文档版本 01
发布日期 2021-10-08
版权所有 © 华为技术有限公司 2021。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目 录
1 安全使用 IAM... 1
2 多运维人员权限设置案例...4
3 常用系统权限设置案例... 12
4 跨帐号的资源授权与管理... 13
5 分配委托权限(被委托方操作)...17
6 多项目管理案例... 20
6.1 实践场景... 20
6.2 实践步骤... 22
1 安全使用 IAM
为了帮助您安全地控制对华为云资源的访问,请您遵循安全使用IAM的建议。
不给华为云帐号创建访问密钥
华为云帐号是您华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务 具有完全的访问权限。密码与访问密钥(AK/SK)都是帐号的身份凭证,具有同等效 力,密码用于登录界面控制台,是您必须具备的身份凭证,访问密钥用于使用开发工 具进行编程调用,是第二个身份凭证,为辅助性质,非必须具备。为了提高帐号安全 性,建议您仅使用密码登录控制台即可,不要给帐号创建第二个身份凭证(访问密 钥),避免因访问密钥泄露带来的信息安全风险。
不将访问密钥嵌入到代码中
当您使用API、CLI、SDK等开发工具来访问云服务时,请勿直接将访问密钥嵌入到代码 中,减少访问密钥被泄露的风险。
创建单独的 IAM 用户
如果有任何人需要访问您华为云帐号中的资源,请不要将帐号的密码共享给他们,而 是在您的帐号中给他们创建单独的IAM用户并分配相应的权限,同时,作为华为云帐 号主体,建议您不使用帐号访问华为云,而是为自己创建一个IAM用户,并授予该用 户管理权限,以使用该IAM用户代替帐号进行日常管理工作,保护帐号的安全。
合理设置访问方式
IAM支持为用户设置编程访问、管理控制台访问方式,请参考如下说明为IAM用户设置 访问方式:
● 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访 问,凭证类型为密码。
● 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型 为访问密钥。
● 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式 选择编程访问,凭证类型为密码。
● 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输 入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密
钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访 问密钥进行身份验证。
授予最小权限
最小权限原则是标准的安全建议,您可以使用IAM提供的系统权限,或者自己创建自 定义策略,给帐号中的用户仅授予刚好能完成工作所需的权限,通过最小权限原则,
可以帮助您安全地控制用户对华为云资源的访问。
同时,建议为使用API、CLI、SDK等开发工具访问云服务的IAM用户,授予自定义策 略,通过精细的权限控制,减小因访问密钥泄露对您的帐号造成的影响。
开启虚拟 MFA 功能
Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法,建议您给 华为云帐号以及您帐号中具备较高权限的用户开启MFA功能,它能够在用户名和密码 之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用 户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这 些多重要素结合起来将为您的账户和资源提供更高的安全保护。
MFA设备可以基于硬件也可以基于软件,系统目前仅支持基于软件的虚拟MFA,虚拟 MFA是能产生6位数字认证码的应用程序,此类应用程序可在移动硬件设备(包括智能 手机)上运行,非常方便。
设置强密码策略
在IAM控制台设置强密码策略,例如密码最小长度、密码中同一字符连续出现的最大 次数、密码不能与历史密码相同,保证用户使用复杂程度高的强密码。
设置敏感操作
设置敏感操作后,如果您或者您帐号中的用户进行敏感操作时,例如删除资源、生成 访问密钥等,需要输入密码和验证码进行验证,避免误操作带来的风险和损失。
定期修改身份凭证
如果您不知道自己的密码或访问密钥已泄露,定期进行修改可以将不小心泄露的风险 降至最低。
● 定期轮换密码可以通过设置密码有效期策略进行,您以及您帐号中的用户在设置 的时间内必须修改密码,否则密码将会失效,IAM会在密码到期前15天开始提示 用户修改密码。
● 轮换访问密钥可以通过创建两个访问密钥进行,将两个访问密钥作为一主一备,
一开始先使用主访问密钥一,一段时间后,使用备访问密钥二,然后在控制台删 除主访问密钥一,并重新生成一个访问密钥,在您的应用程序中定期轮换使用。
删除不需要的身份凭证
对于仅需要登录控制台的IAM用户,不需要使用访问密钥,请不要给他们创建,或者 及时删除访问密钥。您还可以通过帐号中IAM用户的“最近一次登录时间”,来判断 该用户的凭证是否已经属于不需要的范畴,对于长期未登录的用户,请及时修改他们 的身份凭证,包括修改密码和删除访问密钥,您还可以设置“帐号停用策略”来控制 长期未使用的帐号到期自动停用。
在 ECS 实例上运行的应用程序使用 ECS 委托
在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的 方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访 问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权委托管理。
ECS通过向IAM申请指定委托的临时凭证,从而安全访问资源。ECS会为您自动轮换这 些临时凭证,从而确保每次申请的临时凭证安全、有效。
当您启动 ECS 实例时,您可指定实例的委托,以作为启动参数。在 ECS 实例上运行的 应用程序在访问华为云资源时可使用委托的临时访问密钥,同时委托的权限将确定允 许访问资源的应用程序。
开通云审计服务
您可以通过云审计服务(Cloud Trace Service,CTS)对IAM的关键操作事件进行收 集、存储和查询,用于安全分析、合规审计、资源跟踪和问题定位等。为了方便查看 IAM的关键操作事件,例如创建用户、删除用户等,建议您开启云审计服务。
2 多运维人员权限设置案例
A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一 种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可 以实现该需求。
图2-1 权限设置模型
● 负责管理公司所有资源的团队。
● 负责管理公司财务的团队。
● 负责查看并监控所有资源使用情况的团队。
● 负责计算域运维的团队。
● 负责网络域运维的团队。
● 负责数据库运维的团队。
● 负责安全域运维的团队。
通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,
各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限。
表2-1 系统权限
职能团队 需要授予的策 略
权限说明
资源总运维 Tenant
Administrator 除IAM外,其他所有云资源的所有执行权限,包括 费用中心、资源中心、帐号中心的权限,可以购 买资源,管理续费,查看账单等。
财务管理 BSS
Administrator 费用中心、资源中心、帐号中心的所有执行权 限,包括管理发票、管理订单、管理合同、管理 续费、查看账单等权限。仅拥有该权限的用户不 能购买资源,用户如果购买资源需要拥有对应资 源的管理员权限。
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。
计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买 ECS的权限,仅拥有该权限的用户不能查看ECS以 及其他资源的总体消费情况,如果需要查看消费 情况,需要配合BSS Administrator使用。
CCE FullAccess 云容器引擎(CCE)的所有执行权限,包括购买 CCE的权限,仅拥有该权限的用户不能查看CCE以 及其他资源的总体消费情况,如果需要查看消费 情况,需要配合BSS Administrator使用。
AutoScaling
FullAccess 弹性伸缩(AS)的所有执行权限,包括购买AS的 权限,仅拥有该权限的用户不能查看AS以及其他 资源的总体消费情况,如果需要查看消费情况,
需要配合BSS Administrator使用。
网络域运维 VPC FullAccess 虚拟私有云(VPC)的所有执行权限,包括购买 VPC的权限,仅拥有该权限的用户不能查看VPC以 及其他资源的总体消费情况,如果需要查看消费 情况,需要配合BSS Administrator使用。
ELB FullAccess 弹性负载均衡(ELB)的所有执行权限,包括购买 ELB的权限,仅拥有该权限的用户不能查看ELB以 及其他资源的总体消费情况,如果需要查看消费 情况,需要配合BSS Administrator使用。
数据库运维 RDS FullAccess 云数据库(RDS)的所有执行权限,包括购买RDS 的权限,仅拥有该权限的用户不能查看RDS以及其 他资源的总体消费情况,如果需要查看消费情 况,需要配合BSS Administrator使用。
DDSFullAccess 文档数据库服务(DDS)的所有执行权限,包括 购买DDS的权限,仅拥有该权限的用户不能查看 DDS以及其他资源的总体消费情况,如果需要查 看消费情况,需要配合BSS Administrator使用。
DDMFullAccess 分布式数据库中间件的所有执行权限。
职能团队 需要授予的策 略
权限说明
安全领域运
维 Anti-DDoS
Administrator Anti-DDoS流量清洗服务的所有执行权限。
CADAdministrator DDoS高防服务的所有执行权限。
KMSAdministrator 数据加密服务(DEW)的所有执行权限,包括购 买DEW的权限,仅拥有该权限的用户不能查看 DEW以及其他资源的总体消费情况,如果需要查 看消费情况,需要配合BSS Administrator使用。
多运维人员权限配置示例
IAM通过用户组功能实现用户的授权,以A公司将一个员工配置为“华东-上海二”区 域的网络域运维负责人为例,帮助您了解多权限配置流程。如果需要将员工配置为其 他运维负责人,请参考表1,为相关负责人授予相应的系统权限。
步骤 1:创建用户组并授权
步骤1 A公司登录并进入华为云控制台。
步骤2 控制台页面中单击右上角的用户名,选择“统一身份认证”。
步骤3 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。
图2-2 创建用户组
步骤4 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。
步骤5 单击新建用户组右侧的“权限配置”。
步骤6 在“授权记录”页签,单击列表左上方的“授权”。
步骤7 作用范围选择“区域级项目”,并在下拉框中选择“华东-上海二”区域。
步骤8 在搜索框中搜索“VPC FullAccess”和“ELB FullAccess”,勾选后单击“确定”,完 成用户组授权。
说明
● 如果员工还需要查看资源的消费情况,请在同区域选择“BSS Administrator”权限。
● 如果您参考表1,将员工配置为安全域运维负责人,由于安全域与其他服务存在业务交互关 系,授权时,必须同时添加依赖的其他服务的权限,方法请参见:依赖授权。
----结束
步骤 2:创建 IAM 用户
步骤1 在统一身份认证服务,左侧导航中,单击“用户”>“创建用户”。
步骤2 配置基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创 建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
图2-3 配置用户信息
说明
● 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
● 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱 或手机号码,只能由管理员重置密码。
表2-2 用户信息 用户
信息 说明
用户
名 必填。IAM用户登录华为云的用户名,此处以“James”和“Alice”为例。
邮件
地址 “访问方式”选择“首次登录时设置”时必填,选择其他时选填。IAM用户 绑定的邮件地址,可作为子账户的登录凭证,也可由IAM用户自己绑定。
手机
号 选填。IAM用户绑定的手机号,可作为子账户的登录凭证,也可由IAM用户 自己绑定。
描述 选填。记录IAM用户相关信息。
图2-4 配置访问方式
● 编程访问:为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发 工具访问华为云服务。
● 管理控制台访问:为IAM用户启用密码,支持用户登录华为云管理控制台访问云 服务。
说明
– 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭 证类型为密码。
– 如果IAM用户仅需编程访问华为云服务,建议访问方式选择编程访问,凭证类型为访问 密钥。
– 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择 编程访问,凭证类型为密码。
– 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),
建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM 用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验 证。
表2-3 配置凭证类型和登录保护 凭证类型与登录保
护
说明
访问密钥 创建用户完成后即可下载本次创建的所有用户的访问密钥
(AK/SK)。
一个用户最多拥有两个访问密钥。
密码 自定义 自定义用户密码,并选择用户首次登录时是否需要重置密 码。
如果您是用户的使用主体,建议您选择该方式,设置自己 的登录密码,且无需勾选首次登录时重置密码。
自动生成 系统自动生成IAM用户的登录密码,创建完用户即可下载 excel形式的密码文件。将密码文件提供给用户,用户使用 该密码登录。
仅在创建单个用户时适用。
首次登录 时设置
系统通过邮件发一次性登陆链接给用户,用户登录控制台 并设置密码。
如果您不是用户的使用主体,建议选择该方式,同时输入 用户的邮件地址和手机,用户通过邮件中的一次性链接登 录华为云,自行设置密码。该链接7天内有效。
登录 保护
开启登录 保护(推 荐)
开启登录保护后,IAM用户登录时,除了在登录页面输入 用户名和密码外(第一次身份验证),还需要在登录验证 页面输入验证码(第二次身份验证),该功能是一种安全 实践,建议开启登录保护,多次身份认证可以提高帐号安 全性。
您可以选择通过手机、邮箱、虚拟MFA进行登录验证。
不开启 创建完成后,如需开启登录保护,请参见:登录保护。
步骤3 单击“下一步”,将用户加入到用户组(可选)。
● 将用户加入用户组,用户将具备用户组的权限,这一过程即给用户授权。
● 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可 选),创建成功后即可将用户加入到新创建的用户组中。
说明
● 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
● 一个用户可以同时加入多个用户组。
步骤4 单击“下一步”,IAM用户创建完成,用户列表中显示新创建的IAM用户。如果2勾选 了“编程访问”,可在此页面下载访问密钥。
图2-5 创建成功
----结束
步骤 3:IAM 用户登录并验证权限
IAM用户登录有多种方式,如下步骤仅讲述其中一种,更多登录方式请参见:登录华 为云。
步骤1 在华为云登录页面,单击右下角的“IAM用户登录”。
步骤2 在“IAM用户登录”页面,使用新创建的用户登录,输入帐号名、用户名及用户密 码。
● 帐号名为该IAM用户所属华为云帐号的名称。
● 用户名和密码为帐号在IAM创建用户时输入的用户名和密码。
步骤3 登录成功后,进入华为云控制台,请先切换至授权区域“华东-上海二”。
步骤4 在“服务列表”中选择虚拟私有云VPC、弹性负载均衡ELB,云解析服务DNS,可以进 入这些服务的主页面并进行管理操作,权限配置成功。
步骤5 在“服务列表”中选择除以上服务外的任一服务,系统提示权限不足,权限配置成 功。
步骤6 切换区域至除“华东-上海二”的任一区域,无法进入任何服务主页面,包括虚拟私有 云VPC、弹性负载均衡ELB,云解析服务DNS,表示权限配置成功。
----结束
3 常用系统权限设置案例
请参考以下文档给IAM用户设置常见云服务的访问权限。
● 设置弹性云服务器(ECS)的权限
● 设置弹性负载均衡(ELB)的权限
● 设置关系型数据库(RDS)的权限
● 设置云硬盘(EVS)的权限
● 设置云监控(CES)的权限
● 设置云容器引擎(CCE)的权限
● 设置对象存储服务(OBS)的权限
● 设置云服务器备份(CSBS)的权限
● 设置虚拟私有云(VPC)的权限
● 设置分布式缓存服务(DCS)的权限
● 设置文档数据库服务(DDS)的权限
● 设置费用中心的权限
● 设置提交工单的权限
4 跨帐号的资源授权与管理
A公司和B公司是华为云注册的企业用户,分别拥有自己单独的华为云帐号。本文主要 介绍当A帐号希望将部分资源委托给B帐号时,使用IAM的委托功能来实现跨帐号的资 源授权与管理(A帐号为委托方,B帐号为被委托方)。
企业需求
● A帐号在华为云购买了多种资源,为了专注自己的业务领域,希望将“华东-上海 二”区域的VPC资源委托给B帐号进行代运维。
● B帐号希望将A帐号委托的资源分配给公司中一个或多个员工(IAM用户),进行 精细的权限管理。
● 如果合作关系发生变更,A帐号希望随时可以修改或撤销对B帐号的授权。
解决方案
针对以上企业需求,可以使用IAM的委托功能来实现跨帐号的资源授权与管理。
● A帐号在IAM控制台创建一个委托,指定委托的使用者为B帐号,并将需要代运维 的资源授权给这个委托。
● B帐号进一步授权,将A帐号委托的资源分配给帐号下专职管理委托的IAM用户,
让IAM用户帮助管理。
● 当合作关系发生变更时,A帐号随时可以修改或者删除这个委托,B帐号以及帐号 下可以管理该委托的用户对该委托的使用权限将自动修改或者撤销。
图4-1 跨帐号授权模型
委托方跨帐号授权
以A帐号将“华东-上海二”区域的VPC资源,委托给B帐号进行代运维为例,说明委托 方进行跨帐号授权的操作方法。
步骤1 A帐号登录华为云,在统一身份认证服务中,单击“委托”。
步骤2 在“委托”页面,单击“创建委托”,设置“委托名称”,例如“VPC资源代运 维”。
步骤3 “委托类型”选择“普通帐号”,在“委托的帐号”中填入B公司的华为云帐号名称,
例如“B-Company”。
步骤4 设置“持续时间”为永久。
步骤5 单击“下一步”进入“委托授权”页面。
步骤6 选择权限作用范围为“区域级项目>华东-上海一”,搜索“VPC”,勾选“VPC FullAccess”。
步骤7 单击“确定”。
委托创建完成,委托列表中显示新创建的委托。
说明
当合作关系发生变更时,可以在委托列表中,单击“修改”,修改这个委托的委托帐号、权限、
持续时间等。
----结束
被委托方跨帐号管理
当A帐号与B帐号创建委托关系后,即B帐号为被委托方,B帐号通过切换角色的方法,
可以切换到A帐号中,管理委托方授权的资源。B帐号需要提前获取A帐号的华为云帐 号名称以及所创建的委托名称。
步骤1 B帐号登录华为云,进入控制台。
步骤2 在右上方的用户名中,选择“切换角色”。
步骤3 在“切换角色”页面中,输入委托方的帐号名称,输入帐号名称后,系统将会按照顺 序自动匹配委托名称。
步骤4 单击“确定”,切换至委托方A帐号中。
----结束
5 分配委托权限(被委托方操作)
B公司为专业的代运维公司,当其他公司(例如A公司)与B公司创建了委托关系,即B 公司为被委托方。B公司希望将其他公司委托的资源分配给公司中一个或多个员工
(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托 以及委托的细粒度授权。
企业需求
● B公司希望将其他公司委托的资源分配给公司中员工(IAM用户),让员工帮助管 理委托的资源。
● 如果一个公司与B公司创建了多个委托关系,B公司希望这些委托分配给不同的员 工,让员工仅能管理一个特定的委托。
解决方案
针对以上企业需求,可以使用IAM的用户授权功能,实现给员工分配委托以及委托的 细粒度授权。
● B帐号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用 户,员工使用这个用户帮助B帐号管理委托。
● B帐号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,并将这个 细粒度策略授予用户,使得用户仅能管理一个特定的委托。
操作流程
以B帐号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分 配委托以及对委托进行精细授权的的操作方法,委托权限分配完成后,B帐号中的IAM 用户通过切换角色的方式,可以切换到A帐号中,管理委托方授权的资源。B帐号需要 提前获取委托公司的华为云帐号名称、所创建的委托名称以及委托的ID。
步骤1 创建自定义策略。
说明
● 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。
● 如果需要用户管理所有委托,请跳过该步骤,直接执行步骤2。
1. B帐号登录华为云,进入控制台。
2. 在统一身份认证服务左侧导航窗格中,单击“权限 > 创建自定义策略”。
3. 输入“策略名称”,例如“管理A公司的委托1”。
4. “作用范围”选择“全局级服务”。
5. “策略配置方式”选择“JSON视图”。
6. 在“策略信息”区域,填入以下内容:
{ "Version": "1.1", "Statement": [ {
"Action": [
"iam:agencies:assume"
],
"Resource": { "uri": [
"/iam/agencies/b36b1258b5dc41a4aa8255508xxx..."
] },
"Effect": "Allow"
} ] }
说明
"b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID,其他内容不需修改,
直接拷贝即可。
7. 单击“确定”。
步骤2 创建用户组并授权。
1. 在统一身份认证服务左侧导航窗格中,单击“用户组”。
2. 在“用户组”界面中,单击“创建用户组”。
3. 输入“用户组名称”,例如“委托管理”。
4. 单击“确定”。
返回用户组列表,用户组列表中显示新创建的用户组。
5. 单击新建用户组右侧的“权限配置”,选择授权范围。
6. 选择步骤1中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。
说明
– 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。
– “Agent Operator”权限:用户可以管理所有委托。
7. 单击“确定”。
步骤3 创建用户并加入用户组。
1. 在统一身份认证服务左侧导航窗格中,单击“用户”
2. 在“用户”界面,单击“创建用户”。
3. 在“创建用户”界面,输入“用户名”“邮箱”。
4. “访问方式”选择“管理控制台访问”。
5. “凭证类型”选择“首次登录时设置”。
6. “登录保护”选择“开启”,并选择身份验证方式,单击“下一步”。
7. 在“加入用户组”页面,选择步骤2中创建的用户组“委托管理”,单击“创建用 户”。
步骤4 切换角色。
1. 使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。登录方法,请 参见:IAM用户登录。
2. 在控制台页面,右上方的用户名中,选择“切换角色”。
3. 在“切换角色”页面中,输入委托方的帐号名称,输入帐号名称后,系统将会按 照顺序自动匹配委托名称。
说明
如果自动匹配的是没有授权的委托,系统将提示没有权限访问,可以删除委托名称,在下 拉框中选择已授权的委托名称。
4. 单击“确定”,切换至委托方帐号中。
----结束
6 多项目管理案例
6.1 实践场景
A公司是华为云企业用户,企业中有多个项目团队,需要为项目团队购买资源、配置人 员、进行项目管理。本文针对A公司提出的企业需求,给出多项目管理最佳实践。
企业需求
● 需求1:A公司需要同时在“华北-北京四”、“华东-上海一”购买多种资源,并 将其按需分配给两个项目团队,两个项目中的资源相互隔离。
● 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成 工作的资源使用最小权限。
● 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。
解决方案
● 针对需求1:当前华为云提供的企业管理服务(EPS)和统一身份认证服务
(IAM),均可实现项目之间的资源隔离,但两种服务的实现逻辑及功能不同。
– 企业管理服务:在企业管理服务中创建企业项目,企业项目之间的资源是逻
辑隔离,针对企业不同项目间的资源进行分组和管理,一个企业项目中可以 包含多个区域的资源。
– 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间
的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只 能包含一个区域中的资源。
综上,企业管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,
推荐A公司使用企业管理服务进行项目资源管理,以下需求将基于企业管理服务提出解 决方案。如需了解更多统一身份认证和企业管理的区别,请参见:统一身份认证和企 业管理的区别。
● 针对需求2:A公司需要配合使用企业管理服务和统一身份认证服务,在统一身份 认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添 加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源 使用权限。
图6-1 A 公司人员配置模型
表6-1 A 公司各用户组权限配置模型 用户
组
职责 所需权限 描述
财务 组
负责管理项目 费用的使用情 况。
Enterprise Project BSS FullAccess
企业项目费用的管理权限。
开发 组
负责使用资源 进行项目开 发。
ECS FullAccess 弹性云服务器(ECS)的所有执行 权限。
OBS FullAccess 对象存储服务(OBS)的所有执行 权限。
ELB FullAccess 弹性负载均衡(ELB)的所有执行 权限。
安全 维护 组
负责项目的安 全运维。
ECSCommonOperat ions
弹性云服务器(ECS)的普通操作 权限。
CADAdministrator DDoS高防服务(AAD)的所有执 行权限。
运营 组
负责所有项目
的总体运营。 EPS FullAccess 企业管理服务的所有执行权限,包 括修改、启用、停用、查看企业项 目。
说明
如需了解华为云所有云服务的系统权限,请参见:系统权限。
● 针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财 务、退订、变更及配额。详情请参考:管理企业项目的财务信息。
6.2 实践步骤
针对A公司的企业需求及其解决方案,按照如下流程构建项目团队、购买资源,实现企 业项目管理。
图6-2 企业项目管理流程图
步骤1:开通并创建企业项目:开通企业项目,并在企业管理服务控制台创建企业项 目。
步骤2:创建IAM用户及用户组:在统一身份认证服务控制台为各职能团队创建用户 组、为员工创建IAM用户,并将IAM用户加入用户组,实现人员分组。
步骤3:企业项目与IAM用户组关联授权:在企业管理服务控制台为各用户组授予应有 的权限,并将其加入相应的企业项目,实现人员授权。
步骤4:购买资源并关联企业项目:在云服务控制台购买资源,并选择所属企业项目,
实现资源隔离。
后续操作:企业项目管理:在企业管理服务控制台进行人员、资源、财务管理。
开通并创建企业项目
通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。
步骤1 A公司使用注册的华为云帐号登录华为云控制台,单击“用户名”,选择“基本信 息”。
步骤2 在基本信息页面,单击“开通企业项目”。
说明
如果您为未实名认证的帐号,请先进行企业实名认证。
步骤3 在开通企业项目页面,勾选“我已阅读并同意《华为云企业管理使用协议》”,单击
“申请开通”,开通企业项目。
步骤4 在华为云控制台,单击“企业”,选择“项目管理”。
图6-3 进入企业管理服务
步骤5 在企业项目管理页面,单击“创建企业项目”。
图6-4 进入创建企业项目页面
步骤6 在创建企业项目页面,输入“名称”为“企业项目A”,单击“确定”,完成“企业项 目A”创建。
步骤7 重复步骤5~6,创建“企业项目B”。
创建企业项目后,项目管理列表中显示新创建的“企业项目A”和“企业项目B”。
----结束
创建 IAM 用户及用户组
本节以创建名为“企业项目A_财务”的用户组、名为“Murphy”的用户,并将
“Murphy”加入“企业项目A_财务”为例,介绍创建用户组、IAM用户的方法。
步骤1 创建用户组。
1. 在华为云控制台,单击“管理与监管”,选择“统一身份认证”。
2. 在统一身份认证服务的左侧导航栏中,单击“用户组”>“创建用户组”。
图6-5 进入创建用户组页面
3. 在创建用户组页面,输入“用户组名称”为“企业项目A_财务”,单击“确 定”,用户组“企业项目A_财务”创建完成。
4. 重复2~3为两个企业项目分别创建财务组、开发组、安全维护组、运营组。
创建用户组后,用户组列表中显示新创建的用户组。
步骤2 创建IAM用户并加入用户组。
1. 在统一身份认证服务的左侧导航中,单击“用户”>“创建用户”。
2. 在创建用户页面,填写“用户信息”,选择“访问方式”(如图6),单击“下一 步”。
图6-6 创建 IAM 用户
3. 将创建的IAM用户“Murphy”加入相应的用户组“企业项目A_财务”,单击“创 建用户”,IAM用户“Murphy”创建完成。
图6-7 将 IAM 用户加入用户组
4. 重复1~3为所有员工创建IAM用户,并将其加入相应的用户组。
创建IAM用户后,用户列表中显示新创建的用户。在用户组的“用户组管理”页面可 以查看各个用户组中的IAM用户。
----结束
企业项目与 IAM 用户组关联授权
本节介绍添加用户组“企业项目A_财务”至企业项目“企业项目A”,并为“企业项目 A_财务”授予Enterprise Project BSS FullAccess权限,使“企业项目A_财务”拥有管
理企业项目“企业项目A”费用的权限。通过本节,您将了解企业项目与IAM用户组关 联授权的详细步骤。
步骤1 在华为云控制台,单击“企业”,选择“项目管理”,进入企业管理控制台。
步骤2 在企业管理页面,单击“企业项目A”右侧的“更多”,选择“查看用户组”。
图6-8 进入企业项目详情页
步骤3 在企业项目A详情页,选择“权限管理 > 用户组 > 添加授权”。
步骤4 在添加授权页面,选择“项目团队A_财务”,单击“下一步”。
图6-9 添加用户组
步骤5 搜索并选择“Enterprise Project BSS FullAccess”,单击“确定”,即可授予用户组
“企业项目A_财务”对企业项目A的财务管理权限。
图6-10 为用户组授权
说明
如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策 略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。
企业项目与IAM用户组关联授权后,可单击企业项目右侧的“查看用户组”,在“权 限管理”页签中查看用户组,单击用户组右侧的“设置策略”即可查看或修改用户组 权限。
----结束
购买资源并关联企业项目
本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为 企业项目购买资源。
步骤1 登录华为云控制台,单击页面左上角的 ,选择“计算 > 弹性云服务器 ECS”。
步骤2 单击页面右上角的“购买弹性云服务器”,系统进入购买页。
图6-11 购买弹性云服务器
步骤3 配置弹性云服务器各项信息,在“企业项目”下拉列表中选择“企业项目A”。
图6-12 关联企业项目
步骤4 单击页面右下角的“立即购买”跳转至支付页面,查看资源详情并提交订单。
步骤5 按照步骤1~步骤4的方法,为两个企业项目分别购买所需资源。
购买成功后,可以在企业管理页面中单击“企业项目A”、“企业项目B”右侧的“查 看资源”查看企业项目中的资源。
说明
● 目前企业项目支持管理部分华为云,详情请参见:企业管理服务支持的云服务。
● 如果您已购买资源,仅需要关联资源与企业项目,可以使用企业管理服务提供的迁入功能,
详情请参见:为企业项目迁入资源。
----结束
后续操作:企业项目管理
经过以上步骤,用户可以在“企业>项目管理>企业项目管理”页面,管理自己的企业 项目。
● 资源管理:单击企业项目右侧的“查看资源”,即可查看企业项目的已有资源,
并为企业项目迁入资源。
● 人员管理:单击企业项目右侧的“更多>查看用户组”,即可查看企业项目所包含 的用户、用户组,并修改用户组及其权限。
● 财务管理:单击企业项目右侧的“查看消费”,即可查看企业项目的订单、费用 账单,并进行续费管理。详细了解企业项目财务管理,请参见:管理企业项目的 财务信息。
