账号管理实践 - 通过CAM实现按组织架构匹配权限

场景说明

1. 管理员变更场景：账号管理员变更，除了账号、密码交接外，还需修改邮箱、手机。
2. 细化分工场景：组织内部有多个不同的组织，不同的组织的职责范围不同，因此权限不同。例如网络工程师有网络方面的增删改权限，其他的工程师或用户不能对VPC、子网、ACL进行设置。
3. 仅用CDC本地资源：在界面上仅适用CDC中的CVM、CBS资源，没有申请公有云中CVM、CBS的权限。

最佳实践

场景 1：管理员变更

修改手机号码：https://cloud.tencent.com/document/product/378/43092

修改邮箱：https://cloud.tencent.com/document/product/378/55645

场景 2：细化分工

管理方法

将专业组织对应到用户组，对用户组做权限配置。

将每个工程师对应到一个子账号，子账号关联到客户所在组织下，获得组织权限。

创建用户组

1. 登录管理员账号，进入控制台的用户组模块 https://console.cloud.tencent.com/cam/groups
2. 点击 新建用户组 按钮，填写用户组名，点击 下一步 。
3. 关联策略，不同的组织权限不同，关联不同的策略，参考下面的几个最佳实践的配置。点击 下一步 。
4. 点击 完成 ，用户组创建好了。可以把工程师的子账号加入到用户组中。

网络管理组织

• QcloudVPCFullAccess：VPC完整权限，包含子网、ALC权限
• QcloudDFWFullAccess：安全组完整权限
• QcloudCLBFullAccess：负载均衡完整权限
• QcloudCDCFullAccess：本地专用集群权限，CDC中有子网、本地路由的设置，需要权限
• QcloudCVMReadOnlyAccess：CVM只读权限，用来做CVM实例的故障处理等
• QcloudTAGFullAccess：标签完整权限
• QcloudCamReadOnlyAccess：CAM只读权限
• QcloudCVMFinanceAccess：财务权限

计算管理组织

• QcloudCDCFullAccess：本地专用集群权限
• QcloudCVMFullAccess：CVM完整权限，包含CBS、CLB、VPC、云监控的权限
• QcloudDFWFullAccess：安全组完整权限
• QcloudTAGFullAccess：标签完整权限
• QcloudCamReadOnlyAccess：CAM只读权限
• QcloudCVMFinanceAccess：财务权限

存储管理组织

• QcloudCDCFullAccess：本地专用集群权限
• QcloudCVMFullAccess：CVM完整权限，包含CLB、VPC、云监控的权限
• QcloudDFWFullAccess：安全组完整权限
• QcloudCOSFullAccess：对象存储完整权限
• QcloudCFSFullAccess：文件存储完整权限
• QcloudTAGFullAccess：标签完整权限
• QcloudCamReadOnlyAccess：CAM只读权限
• QcloudCVMFinanceAccess：财务权限

场景 3：仅使用CDC里的资源。

步骤一：配置权限，但是资源申请这里只配置只读权限。配置方法参考“场景 2：细化分工”的内容

• QcloudCDCFullAccess：本地专用集群权限
• QcloudCVMInnerReadOnlyAccess：CVM只读权限
• QcloudDFWFullAccess：安全组完整权限
• QcloudTAGFullAccess：标签完整权限
• QcloudCamReadOnlyAccess：CAM只读权限
• QcloudCVMFinanceAccess：财务权限
• QcloudVPCReadOnlyAccess：VPC只读权限

步骤二：配置自定义策略，限制只能申请CDC里的资源

1. 打开策略模块 https://console.cloud.tencent.com/cam/policy

2. 点击 新建自定义策略 按钮，选择 按策略生成器创建 。

3. 配置的内容如下：

• 效果：选择 允许
• 服务：搜索 CVM，在搜索结果中选择 云服务器(CVM)
• 操作：选择 写服务
• 资源：选择 特定资源，选择最下面的 添加自定义资源六段式， 配置 6 条，服务、资源前缀、资源分别按如下配置
  • 服务：cvm 资源前缀：instance 资源：*
  • 服务：cvm 资源前缀：image 资源：*
  • 服务：cvm 资源前缀：systemdisk 资源：*
  • 服务：cvm 资源前缀：volume 资源：*
  • 服务：vpc 资源前缀：vpc 资源：*
  • 服务：vpc 资源前缀：subnet 资源：subnet-ado43th2

4. 填写 策略名称 ，点击 完成 按钮，完成设置。

5. 把这个策略添加到用户组中。 注：资源中，最后一条 “subnet-ado43th2” 的是子网 ID 示例，请自行在 CDC控制台的子网模块中查找（ https://console.cloud.tencent.com/cdc/subnet ）并替换这里的信息。如果有多个子网，那么添加多条。