授予用户对 VPC 资源的许可权
IBM Cloud® Virtual Private Cloud 使用基于角色的访问控制,支持帐户管理员控制其用户对 VPC 资源的访问权。 可以使用 IBM Cloud Identity and Access Management (IAM) 将访问权分配给单个用户,也可以分配给用户组。
有关 IAM 访问策略以及 IAM 角色和操作的更多信息,请参阅 Managing IAM access for VPC Infrastructure Services。
本文档举例说明了账户管理员如何使用IBM Cloud控制台授予管理 VPC 基础设施资源的正确权限。 涵盖的场景如下:
- **完全访问权场景:**分配访问策略,以便新用户可以创建和使用所有 VPC 基础架构资源(包括 VPC)。
- **受限访问权场景:**分配访问策略,以便现有用户只能创建和使用虚拟服务器实例。
- **团队访问权场景:**设置资源组和访问组,以允许两个单独的团队创建和使用分配给其团队的 VPC 资源。
您还可以通过 CLI 或 API 来管理许可权。 有关更多信息,请参阅如何使用 IBM Cloud IAM。
完全访问权场景
此场景说明如何邀请新 IBM Cloud 用户加入您的帐户,并为他们授予对 VPC 基础架构的访问权,以便这些用户可以查看、创建和更新 Default 资源组中的所有 VPC 资源。
要授予新用户对所有 VPC 基础架构资源的访问权,请执行以下操作:
- 转到IBM Cloud控制台中的 IAM 用户页面,然后单击邀请用户。
- 在 输入电子邮件地址 部分中输入要邀请的用户的电子邮件地址。
- 在 分配用户其他访问权 部分中,选择 IAM 服务 并完成以下任务:
- 从“您要分配什么访问类型?”列表中,选择 VPC 基础设施服务。
- 从资源类型列表中,选择所有资源类型。
- 在平台访问区域,选择编辑器。
- 在 资源组访问权 区域中,选择 查看器。
- 在 服务访问权 区域中,选择 控制台管理员。
- 滚动到页面末尾,点击添加。
- 在 访问权摘要 侧面板中,查看详细信息,然后单击 邀请。
受限访问权场景
此场景说明如何授予现有用户许可权,以仅在 Default 资源组中创建虚拟服务器实例以及仅管理该资源组中的虚拟服务器实例。 在用户创建实例并关联浮动 IP 之前,用户还需要访问相关资源,例如将在其中创建实例的 VPC 和子网。
- 转到IBM Cloud控制台中的 IAM 用户页面,选择要配置其访问权限的用户。
- 在访问策略选项卡上,单击分配访问权。
- 在 分配用户其他访问权 部分中,选择 IAM 服务 并完成以下任务:
- 从“您要分配什么访问类型?”列表中,选择 VPC 基础设施服务。
- 从 在 列表中,选择 资源组: 缺省值。
- 从资源类型列表中,选择所有资源类型。
- 在平台访问区域,选择编辑器。
- 确保 资源组访问权 选项设置为 查看器。
- 在 服务访问权 区域中,选择 控制台管理员。
- 滚动到页面末尾,点击添加。
- 查看 访问权摘要 侧窗格,然后单击 分配。
团队访问权场景
此场景说明帐户管理员可以如何分配授权,以便不同团队有权访问不同的 VPC 资源。 该示例使用_资源组为_两个团队设置了不同的资源访问权限。 在此示例中,资源不会跨团队共享。
此示例将引导您逐步创建资源组、创建访问组以及分配相应策略以向团队提供对不同 VPC 资源的访问权。
在此场景中,您将设置两个不同的项目团队来使用不同的 VPC。 您将分配访问权,以便每个团队只有权访问其团队的 VPC 资源。
- 第一个团队是测试团队。 您已决定为该团队分配对名为
test_vpcs的资源组中 VPC 的访问权。 - 第二个团队是生产团队。 将为该团队分配对名为
production_vpcs的资源组中 VPC 的访问权。
此策略可用于将不同的 VPC 资源分配给任意数量的团队。 但是,所有资源都共享帐户的相同 VPC 配额。 有关配额和限制的更多信息,请参阅 VPC 配额。
步骤 1:创建资源组
创建资源组以包含每个团队的 VPC 资源。
- 创建名为
test_team的资源组。 - 创建名为
production_team的资源组。
有关如何创建资源组的更多信息,请参阅管理资源组。
缺省情况下,帐户管理员可以创建新的资源组。 必须为其他用户分配对所有帐户管理服务的编辑者角色,此角色允许这些用户创建资源组。
步骤 2:创建访问组
资源访问权可以分配给用户组。 具有相同访问权限的用户组称为_访问组_。 在此场景中,帐户管理员将创建一个访问组,用于代表需要特定类型 VPC 访问权的团队成员的每个分组,共有四个唯一访问组。
创建具有以下名称的四个访问组,并将相应的用户分配给每个访问组:
test_team_manage_vpcstest_team_view_vpcsproduction_team_manage_vpcsproduction_team_view_vpcs
有关如何创建访问组并将用户分配给访问组的更多信息,请参阅创建访问组。
步骤 3:向访问组添加 IAM 策略
为每个访问组添加必要的 VPC 访问策略。 例如,添加策略,以便 test_team_manage_vpcs 访问组的成员可以创建、更新和删除 test_team 资源组中的所有 VPC 资源。
- 转到IBM Cloud控制台中的 IAM 组用户界面。
- 选择访问组。 首先使用
test_team_manage_vpcs访问组。 - 在访问策略选项卡上,单击分配访问权。
- 在 分配访问组其他访问权 部分中,选择 IAM 服务
- 从“您要分配什么访问类型?”列表中,选择 VPC 基础设施服务。
- 从 在 列表中,选择 资源组 :test_team。
- 从资源类型列表中,选择所有资源类型。
- 在平台访问区域,选择编辑器。
- 在 资源组访问权 区域中,选择 查看器。
- 在 服务访问权 区域中,选择 控制台管理员。
- 滚动到页面末尾,点击添加。
- 在 访问权摘要 侧面板中,查看详细信息,然后单击 分配。
由于浮动 IP 资源和自动附加到实例的启动卷是在默认资源组中创建的,因此还必须为默认资源组添加访问策略。
| 访问组 | 资源组 | 资源类型 | 平台访问角色 | 服务访问角色 |
|---|---|---|---|---|
| test_team_manage_vpcs | 缺省 | Block Storage for VPC | 编辑者 | |
| test_team_manage_vpcs | 缺省 | Floating IP for VPC | 编辑者 |
要添加对其余 3 个访问组的访问策略,请重复上述步骤。
| 访问组 | 资源组 | 资源类型 | 平台访问角色 | 服务访问角色 |
|---|---|---|---|---|
| test_team_view_vpcs | test_team | 所有资源类型 | 查看者 | |
| test_team_view_vpcs | 缺省 | Block Storage for VPC | 查看者 | |
| test_team_view_vpcs | 缺省 | Floating IP for VPC | 查看者 | |
| production_team_manage_vpcs | production_team | 所有资源类型 | 编辑者 | 控制台管理员 |
| production_team_manage_vpcs | 缺省 | Block Storage for VPC | 编辑者 | |
| production_team_manage_vpcs | 缺省 | Floating IP for VPC | 编辑者 | |
| production_team_view_vpcs | production_team | 所有资源类型 | 查看者 | |
| production_team_view_vpcs | 缺省 | Block Storage for VPC | 查看者 | |
| production_team_view_vpcs | 缺省 | Floating IP for VPC | 查看者 |
现在,两个团队已设置妥当,可开始使用 VPC。 test_team_manage_vpcs 和 production_team_manage_vpcs 访问组的成员现在可以在其分配的资源组(即 test_team 和 production_team 资源组)中创建 VPC。
创建 VPC 或其他资源时,请确保指定要在其中创建资源的资源组。 如果未指定资源组,那么会在 Default 资源组中创建资源。
查看用户的许可权
策略可以在用户的访问策略选项卡中进行查看。
可以使用以下 CLI 命令来验证通过策略或访问组分配给用户的资源组许可权:
验证通过策略分配的资源组许可权
ibmcloud iam user-policies <username>
验证通过访问组分配的资源组许可权
ibmcloud iam access-groups -u <username>
对 VPC 的 IAM 访问策略的更改可能最长需要 10 分钟才能生效。