Компания имеет три функциональные команды, включая управление (admin группа), команды разработки и тестирования. После того как администратор компании создаёт учётную запись, группа по умолчанию admin автоматически генерируется и имеет полные разрешения для всех облачных сервисов. Администратору нужно лишь создать ещё две группы в IAM для команд разработки и тестирования соответственно.
Создание групп пользователей
- Войдите в консоль управления и выберите .
- В консоли IAM выберите Группы пользователей и нажмите Создать группу пользователей.
Рисунок 1 Создание группы пользователей
- Ввод Разработчики для Имя, и нажмите OK.
Рисунок 2 Настройка информации о группе пользователей
- Повторить шаги 2 и 3 для создания Тестировщики группу.
Назначение разрешений группам пользователей
Разработчикам в компании необходимо использовать ECS, RDS, ELB, VPC, EVS и OBS, поэтому администратору необходимо назначить требуемые разрешения к Разработчики группу, чтобы обеспечить доступ к этим сервисам. Тестировщикам в этой компании необходимо использовать APM, поэтому администратору необходимо назначить требуемые разрешения к Тестировщики группа для предоставления доступа к сервису. После назначения разрешений пользователи в обеих группах могут получать доступ к соответствующим сервисам. Подробную информацию о разрешениях всех облачных сервисов см. "Разрешения".
- Определите политики разрешений, которые будут привязаны к каждой группе пользователей.
Определите политики (см Таблица 1). Регион — это географическая область, в которой развертываются сервисы. Если политика сервисов уровня проекта привязана к группе пользователей для проекта в определённом регионе, политика действует только для этого проекта.
Таблица 1 Требуемые политики разрешений Группа пользователей
Облачный сервис
Регион
Политика или роль
Разработчики
ECS
Конкретные регионы
ECS Администратор
RDS
Конкретные регионы
RDS Администратор
ELB
Конкретные регионы
ELB Администратор
VPC
Конкретные регионы
VPC Администратор
EVS
Конкретные регионы
EVS Администратор
OBS
Глобальный
OBS Buckets Viewer
Тестировщики
APM
Конкретные регионы
APM Администратор
- В списке групп пользователей нажмите Авторизовать в строке, содержащей группу пользователей Разработчики.
Рисунок 3 Авторизация группы пользователей
- Назначьте разрешения группе пользователей для региональных проектов.
- Все сервисы в Таблица 1 за исключением OBS развернуты в определённых проектах. Выберите желаемые разрешения для сервисов уровня проекта и нажмите Далее.
- Укажите область как Региональные проекты, выберите уполномоченный регион и нажмите OK.
Затем пользователи в группе Разработчики могут получить доступ к указанным сервисам уровня проекта в уполномоченных регионах но не имеют разрешений на доступ к услугам в других регионах.
- Назначьте разрешения группе пользователей для глобального сервисного проекта.
- Выберите OBS Buckets Viewer и нажмите Далее.
- Укажите область как Глобальный сервисный проект и нажмите OK.
- Повторите шаги 2 по 5 чтобы присоединить APM Admin роль Тестировщики группы.