IBM Cloud Docs
使用访问组分配对资源的访问权

使用访问组分配对资源的访问权

通过设置访问组来快速进行访问权分配,邀请用户加入帐户以及管理用户访问权,您可快速入门和熟悉运用 IBM Cloud Identity and Access Management (IAM)。

本教程适用于支持 IAM 的资源。 对于不支持创建 IAM 策略以管理访问权的经典基础架构,您可以查看 经典基础架构许可权 文档。

准备工作

如果你是 IAM 的新用户,请查看以下文档,进一步了解访问管理系统的功能、概念和组件:

创建访问组

为了简化为账户用户分配访问权限的过程,可以创建一个访问组。 访问组是组织用户和服务 ID 的一种方式,这样就可以通过为整个组添加一个或多个策略来轻松分配访问权限。 然后,可以根据需要添加或除去用户和服务标识,而不是为每个用户分配单独的访问权。

需要唯一名称以区分帐户中的访问组。

设置组

要创建访问组,请完成以下步骤:

  1. 在IBM Cloud控制台中,单击管理>访问 (IAM),然后选择访问组
  2. 单击创建
  3. 输入用于标识访问组的唯一名称和可选描述。
  4. 单击创建

接下来,继续通过添加用户或服务标识来设置组:

  1. 选择要更新的组名称。
  2. 单击添加用户
  3. 从列表中选择要添加的用户,然后单击添加到组
  4. 要将服务标识添加到组,请单击服务标识
  5. 从列表中选择要添加的标识,然后单击添加到组

为组分配访问权

创建访问组后,可以使用一个或多个策略为组中的所有成员分配访问权。 通过使用单个策略为一组用户分配对一组资源的访问权,可以减少需要管理的策略总数。

  1. “访问”选项卡,单击“分配访问”。

  2. 选择单个服务或一组服务。 然后,单击下一步

  3. 根据属性限制对所有资源或特定资源的访问权。 然后,单击下一步

  4. 选择要分配的访问级别。

    如果要分配对启用 IAM 的服务的访问权,那么某些服务支持使用高级操作程序来授予对满足特定命名约定的资源的访问权。 请参阅 使用通配符策略分配访问权 以获取更多信息。

  5. 点击回顾

  6. 单击 添加 以将策略配置添加到策略摘要。

  7. 单击 分配 以将所有已添加的访问权分配给您的访问组。

邀请用户

您可以在一个邀请中邀请一个或多个用户。 如果在一个邀请中邀请多个用户,那么会为每个用户分配相同的访问权。 但是,您也可以在邀请用户加入帐户时不分配访问权,而在以后为其分配访问权。

  1. 在 IBM Cloud 控制台中,转至 管理 > 访问权 (IAM),然后选择 用户

  2. 单击邀请用户。 指定用户的电子邮件地址。 如果是使用单个邀请来邀请多个用户,那么将为所有用户分配相同的访问权。

  3. 添加所管理的一个或多个访问权选项。 必须至少分配一个访问权选项。 对于未添加和配置的任何访问权选项,都会分配缺省值无访问权。 根据您有权管理的选项,可以分配以下类型的访问权:

    • 访问组:单击希望用户所属的每个访问组的添加
    • 访问策略: 分配个别 IAM 访问策略或经典基础架构许可权。

      • 选择经典基础架构,然后从三个权限组中进行选择。

      • 选择一组服务,例如 所有启用身份和访问权的服务所有帐户管理服务所有 IAM 访问权管理服务,或者选择特定服务。 然后,您可以对整个账户或一个资源组设定访问范围。 然后,选择适用的所有角色。 要查看映射到每个角色的操作,请单击每个角色旁边列出的数字。

        某些服务支持使用高级操作程序来授予对满足特定命名约定的资源的访问权。 请参阅 使用通配符策略分配访问权 以获取更多信息。

  4. 然后,选择适用的所有角色。

  5. 选择添加以将访问权分配保存到邀请。

  6. 添加所有必需的访问权分配后,单击邀请

有关更多信息,请参阅邀请用户加入帐户

管理现有用户的访问权限

邀请用户后,您可能需要分配更多权限或编辑现有权限,以确保账户中的所有成员都拥有正确的访问级别。

分配新访问权

要分配新的访问策略,请完成以下步骤:

  1. 在IBM Cloud控制台中,单击管理>访问 (IAM),然后选择用户
  2. 在要分配访问权限的用户行中,单击操作图标操作图标>分配访问权限
  3. 选择一个服务或一组服务。 然后,单击下一步
  4. 根据所选属性限定对所有资源或特定资源的访问范围。 然后,单击下一步
  5. 选择角色或权限的任意组合来定义访问范围,然后单击“审查”。 有关更多信息,请参阅 IAM 角色
  6. 单击 添加 以将策略配置添加到策略摘要。
  7. 单击 分配 以将所有添加的访问权分配给所选用户。

为包含资源的资源组分配查看器角色或更高级别的角色,以确保用户可以从其资源列表中访问资源。

编辑现有访问权

可以通过编辑用户的已分配角色来更新现有访问权。

  1. 在IBM Cloud控制台中,单击管理>访问 (IAM),然后选择用户
  2. 选择要编辑其访问权的用户的名称。
  3. 单击 访问权
  4. 单击要编辑的策略的行上的 操作 图标 "操作" 图标 > 编辑
  5. 通过更新分配的角色来编辑策略。
  6. 单击保存

后续步骤

创建基于上下文的限制,与传统的 IAM 策略配合使用,提供另一层保护,从而继续确保云资源的安全。 或者,通过查看功能列表了解IBM Cloud还能做些什么。IAM 的其他 功能