腾讯云 CVM 标签实践分享

随着腾讯云用户资源数量的增加,用户管理资源的难度也随之增加。为方便用户更快速有效地查询和管理各种资源,腾讯云推出标签这一产品。腾讯云主机 CVM 目前也已经接入标签的功能,且相应的 CAM 能力也已经支持。本文将模拟实际用户场景来做一个实践分享。

场景介绍

1、某公司目前已经全量迁移上腾讯云,涉及公司多个业务,而不同业务分属不同管理员进行管理。

2、该公司希望,不同业务的管理员只能管理其业务的云服务器,而没有权限管理其他业务的服务器。

实现介绍

1、按照业务创建多个子账号,或者添加多个协作者账号,例如子账号A。

2、用标签给云服务器做好区分,例如,业务A的服务器的标签为A。

3、结合 CAM,新建权限策略,该策略为允许某人管理标签为A的服务器。

下面将是操作步骤的演示。

创建账号

当前腾讯云支持4中用户类型,分别是协作者、消息接收人、子用户以及从企业微信创建子用户。用得较多的则是子用户和协作者,故本文演示也采用了子用户和协作者这两种账号。

用户类型

创建子用户或者添加协作者账号的步骤较为简单,我就不一一截图示范了,下面是我创建好的账号。

本次演示的账号

新建标签

1、登陆云主机控制台,选中要打标签的服务器进行打标签。

选中云主机
添加标签
添加标签完成

2、继续添加标签,比如一个ERP业务不仅仅有WEB服务器,还有文件服务器等。

3、继续添加标签,比如一个客户不仅有ERP业务,还有OA业务,同样也有WEB服务器和文件服务器。

至此,本次演示所需的标签已经打完了。也可以在筛选框以标签的维度进行筛选,示例如下:

新建策略并绑定账号

1、登录策略管理控制台,新建自定义策略,选择【按标签授权】。

新建自定义策略
按标签授权

2、填写策略信息。

  • 赋予用户,即您希望该策略赋予哪个用户。
  • 标签键,即刚刚打标签的时候写的标签键,比如ERP业务和OA业务。
  • 标签值,即刚刚打标签的时候写的标签值,比如WEB服务器和文件服务器。

本次演示说明,melody_test用户可以管理ERP业务(包括ERP业务的WEB服务器和文件服务器),melody111用户可以管理OA业务(只能管理OA业务的文件服务器)。

3、检查并完成。

同理,再新建第二条策略,是给melody111这个用户授权的,只能管理OA业务的文件服务器。

最终完成的两条策略如下:

验证效果

分别使用melody_test和melody111登录云主机控制台进行效果验证。

1、由于melod_test是协作者,可像主账号那样正常登录即可。

2、而melody111是子账号,子账号的登录界面是和主账号不一样的。

子账号登录链接
子账号登录界面
melody_test只能管理ERP的这5台云主机
melody111只能管理OA的文件服务器这2台云主机

更多延伸

当前腾讯云上有上百款产品,并不是所有的产品都已经接入标签的功能。比如,和CVM 比较为紧密的 VPC 目前也尚未接入标签功能。当上述子账号melody111(或者协作者账号melody_test)访问VPC 控制台时,则会出现没权限的报错。

同样地,如果该子账号要去购买 CVM,在购买页面需要选择网络、镜像、安全组等,依旧会提出没有权限。并且还需要额外的支付权限。

那么,怎么办呢?此时可以找主账号像子账号(或者协作者账号)赋予QcloudVPCFullAccess、

QcloudIMAGEFullAccess、QcloudCVMFinanceAccess、QcloudCVMFinanceAccess、RunInstances。

没RunInstances权限
没QcloudCVMFinanceAccess权限

在此也补充下上述提到的相关权限的授予的操作步骤。

QcloudCVMFinanceAccess

类似这种QcloudxxxxFullAccess,都是预设策略,直接在策略管理控制台搜索即可,搜到了之后则添加用户即可。

RunInstances

像创建XXX,删除XXX这种权限呢,操作就稍微复杂一点,本文就以 RunInstances 为例分享相关步骤。

1、【新建自定义策略】— 【按策略生成器创建】

2、选择【云服务器】的Service,以及【RunInstances】的Action

3、资源描述,选择*,然后点击【添加声明】,然后点击【下一步】

4、确认策略内容,没问题就点击【创建策略】完成。注意策略的命名要求。

项目的权限

项目的授权的操作步骤就更为复杂了,下面我也将一步一截图示范一下。

1、【新建自定义策略】— 【按业务创建】

2、选择【项目管理】

3、选择【管理其它业务项目内云资源】,然后点击下一步

4、关联对象

5、选择【按项目选择】

6、选择要关联的项目

7、点击【完成】

8、将策略关联给用户

本次的分享到此结束,希望对大家有帮助,谢谢大家的浏览。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏性能与架构

什么是反向代理服务器

我们常会看到‘反向代理服务器’这个名词,例如常看到文章上说 nginx 是一个反向代理服务器、varnish 是一个反向代理服务器 …… 下面就了解下这个概念 ...

3968
来自专栏c#开发者

在 BizTalk Server 2004 SP2 中存档和清除 BizTalk 跟踪数据库

在 Biztalk Server 2004 SP2 中存档和清除 Biztalk 跟踪数据库 发布日期: 2006年09月19日 小结:本白皮书介绍如何配置 B...

3523
来自专栏较真的前端

您必须知道的 Git 分支开发规范

Git 是目前最流行的源代码管理工具。 为规范开发,保持代码提交记录以及 git 分支结构清晰,方便后续维护,现规范 git 的相关操作

1184
来自专栏Python自动化测试

Jmeter接口测试之参数化(十)

在接口测试中,某些时候一些场景会使用到参数化的场景,参数化简单的说就是同一个请求需要不同的数据,比如在性能测试中需要并发多个用户的场景,这样的目...

1733
来自专栏杨建荣的学习笔记

一个清理脚本的改进思路(r5笔记第51天)

前几天同事问我一个问题,说在unix环境下有个目录下的文件/文件夹太多了,已经报了开始报系统错误了,客户希望能够定时进行这些目录的清理。 我连到那个环境去查看,...

3168
来自专栏tiane12

CentOS修改系统时间

2143
来自专栏北京马哥教育

一个cheat命令 == Linux命令小抄大全

当你要执行一个linux命令,在这个命令参数选项众多时,你一般怎么做?对,我们大多数人都会去求助man命令。此外,linux上帮助相关的命令还有”help””w...

2845
来自专栏Flutter&Dart

Flutter教程app

5523
来自专栏PHP在线

PHP安全:session劫持的防御

点击蓝色小字关注 session 数据暴露 会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会...

3628
来自专栏星流全栈

想使用 MongoDB ,你应该了解这8个方面!

1075

扫码关注云+社区