操作场景
在企业上云的实际应用场景中,会存在不同岗位(如财务、运维、开发等)的员工需要登录访问腾讯云的场景,由于不同岗位的员工关注的内容不同,我们需要按照岗位职责为员工分配权限,保障权限的分配合理和安全。
按照岗位创建用户组,通过用户组为相同岗位的员工授权。
当有新员工加入时,只需要将员工加入到对应岗位的用户组,即可获得相应权限。
当有员工离职或岗位变更时,只需将员工移出对应岗位的用户组,即可回收相应权限。相关操作请参见:为用户组添加/移除用户。
通过用户组为运维员工授权
场景描述
以运维员工为例,不同运维岗位关注的功能不同,可以为运维组授予相应的权限。
操作步骤
1. 创建运维组,并为运维组授权。
2. 创建 CAM 子账号, 并将 CAM 子账号加入指定运维组。
常见运维组及授权策略参考示例
运维权限组 | 权限策略名称 | 权限策略说明 |
运维负责人 | AdministratorAccess | 管理所有腾讯云资源的权限 |
云服务器运维组 | QcloudCVMFullAccess | 云服务器(CVM)全读写访问权限,包括CVM及相关CLB、VPC、监控权限 |
| QcloudASFullAccess | 弹性伸缩(AS)全读写访问权限 |
| QcloudCOSFullAccess | 对象存储(COS)全读写访问权限 |
| QcloudCFSFullAccess | 文件存储(CFS)全读写访问权限 |
| QcloudCASFullAccess | 归档存储(CAS)全读写访问权限 |
网络运维组 | QcloudVPCFullAccess | 私有网络(VPC)全读写访问权限,包含NAT网关 |
| QcloudDCFullAccess | 专线接入(DC)全读写访问权限 |
| QcloudCDNFullAccess | 内容分发网络(CDN)全读写访问权限 |
| QcloudECDNFullAccess | 全站加速网络(ECDN)全读写访问权限 |
| QcloudCLBFullAccess | 负载均衡(CLB)全读写访问权限 |
| QcloudBMLBFullAccess | 黑石负载均衡(BM LB)全读写访问权限 |
| QcloudEIPFullAccess | 弹性IP(EIP)全读写访问权限 |
| QcloudBMEIPFullAccess | 黑石弹性公网IP(BM EIP)全读写访问权限 |
数据库运维组 | QcloudSQLServerFullAccess | 云数据库 SQL Server 全读写访问权限 |
| QcloudCKVFullAccess | NoSQL 数据库CKV全读写访问权限 |
| QcloudCTSDBFullAccess | 时序数据库(CTSDB)全读写访问权限 |
| QcloudCynosDBFullAccess | 云数据库TDSQL-C(CynosDB)全读写访问权限 |
| QcloudDBSFullAccess | 数据库备份服务(DBS)全读写访问权限 |
| QcloudKonisGraphFullAccess | 图数据库 KonisGraph 全读写访问权限 |
| QcloudMemcachedFullAccess | 云数据库(memcached)全读写访问权限 |
| QcloudMongoDBReadOnlyAccess | 文档数据库(MongoDB)全读写访问权限 |
| QcloudPostgreSQLFullAccess | 云数据库PostgreSQL全读写访问权限 |
| QcloudRedisFullAccess | 云数据库Redis全读写访问权限 |
| QcloudTcaplusDBFullAccess | 游戏数据库(TencentDB for TcaplusDB)全读写访问权限 |
| QcloudTDMySQLFullAccess | 分布式数据库(TDMySQL)全读写权限 |
| QcloudMariaDBFullAccess | 云数据库 MariaDB 全读写访问权限 |
安全运维组 | QcloudSSAFullAccess | 安全运营中心(SSA)全读写访问权限 |
| QcloudTCSSFullAccess | 容器安全服务(TCSS)全读写访问权限 |
| QcloudCWPFullAccess | 主机安全(CWP)全读写访问权限 |
| QcloudCFWFullAccess | 云防火墙(CFW)全读写访问权限 |
| QcloudAntiDDoSFullAccess | DDoS防护 (AntiDDoS)全读写访问权限 |
监控运维组 | QcloudMonitorFullAccess | 云产品监控(MONITOR)全读写访问权限,包括查看用户组的权限 |
| QcloudRUMFullAccess | 前端性能监控(RUM)全读写访问权限 |
| QcloudTAPMFullAccess | 应用性能监控(TAPM)全读写访问权限 |
| QcloudCATFullAccess | 云拨测(CAT)全读写访问权限 |
通过标签和用户组为开发员工授权
场景描述
假设有 A、B 两个项目团队,两个项目使用的资源(如云服务器)不同,每个团队中有若干开发人员。
每个项目使用的云服务器会动态增加或减少,可以使用标签来动态授权管理。使用 Application&GoupA 标记项目 A 使用的云服务器,Application&GoupB 标记项目 B 使用的云服务器。查看支持标签的产品 >>
操作步骤
1. 为项目 A 和项目 B 的开发团队分别创建两个用户组:GroupA 和 GroupB。
2. 为 GroupA 和 GroupB 分别创建自定义策略,在自定义策略中授予云服务器的管理权限,在 condition 中,限定可以访问的云服务器标签、项目。
3. 将策略授权给对应用户组。
4. 为开发人员创建 CAM 子账号,加入到对应用户组。
项目 A 的开发人员权限策略参考示例
{"version": "2.0","statement": [{"effect": "allow","action": ["cvm:*"],"resource": "*","condition": {"for_any_value:string_equal": {"qcs:resource_tag": ["Application&GroupA"]}}}]}