管理迁移的 SoftLayer 帐户许可权
您可以使用迁移的许可权访问组来管理用于管理帐单信息以及使用支持案例的一组经典基础架构 (SoftLayer) 许可权。 访问组包含一组具有相同访问权的用户和服务标识。 SoftLayer 帐户中先前分配有帐户和支持许可权的用户现在已分配给相应的已迁移许可权访问组。 因此,可以使用 IAM 访问组直接管理许可权。
这些特殊访问组包含所有相应的 IAM 策略,以保留 SoftLayer 帐户许可权的原始行为。 例如,要让用户继续查看支持案例上所有用户的所有更新,则票务 SoftLayer 账户权限的迁移权限访问组包括用户管理服务上的附加 IAM 策略,并分配了查看器角色。 有关更多信息,请参阅分配用于处理支持案例的用户访问权。
迁移经典基础架构许可权后,必须停止使用这些许可权并停止使用 SoftLayer CLI 或 API 来管理这些许可权。 请参阅下表,以了解迁移的经典基础架构许可权(现在这些许可权属于 IAM 访问组)。 访问组仅为已分配给用户的权限创建,因此你可能会注意到下表中列出的你账户中的访问组子集。
通过在访问组中添加和除去用户,可以继续直接通过 IAM 来管理用户的这些已迁移经典基础架构许可权。 访问组策略已锁定,以保留其成员的访问行为。 但是,您可能会发现创建新的访问组来包含帐户管理服务的访问策略组合会很有用。 下表概述了 IAM 访问策略的详细信息,该访问策略包含已迁移许可权访问组中的许可权,以便您可以重新创建这些许可权,甚至将其与新访问组中的其他许可权结合。
迁移的许可权访问组名称 | 描述 | 帐户管理服务 | IAM 角色 |
---|---|---|---|
查看帐户摘要 | 查看帐户摘要页面以及发票和付款。 | 计费 | 查看者 |
获取一致性报告 | 请求合规性报告。 | 计费 | 查看者 |
编辑公司概要文件 | 编辑公司概要文件信息。 | 计费 | 编辑者 |
更新付款详细信息 | 更新周期性每月付款信息。 | 计费 | 编辑者 |
设置欧盟案例限制 | 启用或禁用“欧盟支持”选项,以将支持案例数据限制为欧盟。 | 计费 | 不适用 |
添加案例和查看订单 | 创建支持案例和查看所有订单。 | 支持中心 | 编辑者 |
编辑案例 | 编辑任何支持案例。 | 支持中心 | 编辑者 |
搜索案例 | 搜索所有支持案例(如果同时分配了“查看案例”许可权)。 | 支持中心 | 查看者 |
查看案例 | 查看所有支持案例。 | 支持中心和用户管理 | 查看者、查看者 |
对于“查看案例”访问权,请创建两个单独的策略,其中包含“支持中心”和“用户管理”服务的查看者角色。 “用户管理”服务的策略确保用户可查看帐户中的所有案例,而无论是谁打开的案例。 如果没有“用户管理”服务的策略,当帐户所有者限制了用户查看帐户中其他用户的能力时,用户可查看的案例可能仅限于他们自己打开的案例。
为迁移的许可权分配新的 IAM 访问策略
要重新创建每个访问组中可用的已迁移许可权,您可以为单个用户分配策略,或在您的帐户中创建新访问组。 创建新访问组的优点是您可以选择将一个访问组的一组许可权相结合,而无需管理一组每个都设置了精确访问权作用域的访问组。 在本例的步骤中,解释了如何创建新访问组,以及如何为查看帐户摘要和查看所有支持案例分配同等访问策略。
如果通过为帐户管理服务分配新的 IAM 访问策略来重新创建这些许可权,那么其中可能不仅包含已迁移许可权访问组中可用的单个许可权,还包含其他许可权。 例如,如果您为用户分配“计费”服务的查看者角色,那么该用户可执行的操作不止于查看帐户摘要。 有关每个角色所允许执行的操作的完整列表,请参阅分配对帐户管理服务的访问权。
要创建访问组,请完成以下步骤:
- 在 IBM Cloud 控制台中,单击管理 > 访问 (IAM),然后选择访问组。
- 单击创建。
- 输入组的名称和可选描述,然后单击创建。
- 单击添加用户。
- 从列表中选择要添加的用户,然后单击添加到组。 如果您要将任何服务标识添加到组中,您可在服务标识选项卡中完成相同的操作。
使用用户和服务标识设置组后,请为该组分配访问权。 请记住,您为该组设置的任何策略都将应用于该组的所有成员。
- 单击“访问”选项卡。
- 单击分配访问权。
- 从服务中,选择 计费,然后单击 下一步。
- 选择 查看者 角色,然后单击 复审。
- 单击添加。
- 要为查看支持案例的能力分配第二个访问策略,请选择 支持中心 服务。
- 选择 查看者 角色,然后单击 复审。
- 单击添加。
- 要为查看所有支持案例的能力分配第三访问策略,而不管账户所有者如何设置账户用户可见性设置,请选择用户管理服务。
- 选择 查看者 角色,然后单击 复审。
- 单击 添加 以将策略配置添加到策略摘要。
- 单击分配。
现在已为您的组分配了三个策略:
- 第一个策略:用于查看帐户摘要以及与“计费”服务中的查看者角色关联的其他所有操作。
- 第二个策略:用于查看和搜索帐户中的支持案例。
- 第三个策略:用于查看帐户中的所有用户以及与“用户管理”服务的查看者角色关联的其他所有操作。