要说这天翼云帐号权限怎么设置,我真是自己一步一个脚印给摸索出来的。之前我们团队用天翼云,权限管理那叫一个乱,谁要用啥服务,要么直接给个最高权限,要么干脆把我的主账号密码给他用,听着都冒汗?

刚开始那阵子,真是把人愁坏了。好几次出问题,比如某个服务突然停了,或者数据被误操作了,查来查去,愣是搞不明白是谁碰的哪儿。就记得有一次,一个新来的同事不小心点了删除,把一个测试环境的关键配置给抹了。虽然是测试环境,但排查加恢复,也折腾了好几天,那会儿我就在想,这不行,权限这块儿,必须得自己搞明白,不能老是稀里糊涂。

我当时就下定决心,要把这块儿啃下来。先是去天翼云的官方文档上找,好家伙,那些专业名词看得我脑壳疼,什么IAM、策略、委托……感觉每一个字都认识,但连起来就不知道啥意思了。硬着头皮看了好几天,还是云里雾里。

后来我就想,光看没用,得自己动手试试。我就把手头一个不重要的测试项目,拿来做实验。我先是尝试着在控制台里到处点,看有没有比较直观的设置地方。结果真让我找到了一个叫“统一身份认证(IAM)”的地方。点进去一看,里面有“用户管理”、“用户组管理”、“策略管理”这几个菜单。当时我就觉得,这八成就是核心。

我从最简单的开始搞。我给自己团队里的几个同事都单独创建了子账号,而不是所有人都共用一个。我觉得这是最基本的一步,谁干了什么,日志里清清楚楚。具体操作就是:

  • 点进“统一身份认证(IAM)”。

    • 小编温馨提醒:本站只提供游戏介绍,下载游戏请前往89游戏主站,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区

  • 然后找到“用户管理”,点那个“创建用户”按钮。
  • 用户名就用咱们熟悉的拼音加个工号,好区分。
  • 密码我先设了个默认的,然后勾选了让用户首次登录强制修改密码,这样他们自己设的密码更安全。
  • 最关键的是,一定要勾选“允许控制台登录”,不然他们连后台都进不去,白搞了。

用户建好了,我又想,我们团队有开发、测试、运维这几个角色,给每个人都单独配权限太麻烦了。这时候“用户组管理”就派上用场了。

  • 我在“用户组管理”里创建了比如“开发组”、“测试组”、“运维组”这样几个用户组。
  • 然后把对应的用户拖到相应的用户组里面,比如小张是开发,就给他扔到开发组。这样一来,我要给开发团队统一开权限,就方便多了。

接下来就是硬骨头了,那就是“策略管理”。一开始我看着系统给的那些预设策略,比如“AdministratorAccess”或者“ReadOnlyAccess”,觉得要么权限太大,要么太小,根本满足不了我们精细化管理的需求。比如开发,他们需要能启动停止某些特定的云服务器,但又不能删除数据库。这就得自己写策略了。

我反复研究了好几天,才摸清楚策略的核心。策略说白了就是用JSON格式的一段代码,告诉天翼云“谁能干什么事(Action)”和“能在哪个资源(Resource)上干”。我先从系统的一些基础策略里面找灵感,复制一份出来,然后照着改巴改巴。我发现那些“Action”都是带着前缀的,比如“ecs:RunInstances”就是ECS服务里的启动实例操作。而“Resource”就是资源的唯一标识,比如某台ECS的ID。

我举个例子,比如我们想让开发组,只能启动和停止他们负责的几台测试服务器,但不能动生产环境的服务器。我就这么干的:

  • 在“策略管理”里点“创建策略”,选择“按JSON创建”。
  • 然后就得小心翼翼地写JSON了。它大概是这个样子: 
    

    "Statement": [
    


    "Action": [
    

    "ecs:RunInstances",
    

    "ecs:StopInstances"
    


    "Resource": [
    

    "arn:cloud:ecs:cn-north-1:1234567890123456:instance/i-abcdef1234567890",
    

    "arn:cloud:ecs:cn-north-1:1234567890123456:instance/i-fedcba0987654321"
    


    "Effect": "Allow"
    



    "Action": [
    

    "ecs:DescribeInstances"
    


    "Resource": "",
    

    "Effect": "Allow"

    (注:上面的资源标识是随便写的示例,实际使用时要替换成你自己的账号ID和实例ID。)

  • 第一个Statement就是允许他们对特定的两台ECS执行启动和停止操作。资源的“arn:cloud:ecs:...”就是那两台服务器的唯一标识。
  • 第二个Statement是允许他们查看所有ECS实例的信息(DescribeInstances),因为你看的时候肯定要看全部。
  • Effect”就只有Allow(允许)和Deny(拒绝)两种。
  • 策略写好后,起个名字,比如叫“Dev_TestECS_Control”。

策略创建好了,一步就是“绑定策略”。

  • 我回到“用户组管理”,找到“开发组”。
  • 点进去,选择“关联策略”,然后把刚才创建的“Dev_TestECS_Control”策略关联上去。
  • 你也可以直接给某个特定用户关联策略,比如一个临时的外包人员,只给他一个非常局限的临时权限。

每设置完一步,我都会用对应的测试账号登录天翼云控制台,去试试看权限是不是真的生效了。比如,用开发组的账号去尝试启动生产环境的ECS,看看会不会被阻止;或者尝试删除一个他们不该动的存储桶。只要报错,就说明权限策略生效了,心里才踏实。

这么折腾了一圈下来,现在我们团队的权限管理那叫一个清晰。每个同事都有自己的子账号,而且只拥有他工作所需的最小权限。再也没有谁能稀里糊涂地误操作,所有的操作都有迹可循,出问题也能很快定位到责任人。最重要的是,以后要开个新服务,或者某个同事需要调整权限,我直接在IAM里操作就行了,不用再去求别人,效率一下子就提上来了。

虽然一开始研究这些东西有点头疼,但现在回头看,真的是省了老大劲儿了。自己动手,丰衣足食,管理权限也不求人,贼爽。

免责声明:喜欢请购买正版授权并合法使用,此软件只适用于测试试用版本。来源于转载自各大媒体和网络。 此仅供爱好者测试及研究之用,版权归发行公司所有。任何组织或个人不得传播或用于任何商业用途,否则一切后果由该组织及个人承担!我方将不承担任何法律及连带责任。 对使用本测试版本后产生的任何不良影响,我方不承担任何法律及连带责任。 请自觉于下载后24小时内删除。如果喜欢本游戏,请购买正版授权并合法使用。 本站内容侵犯了原著者的合法权益,可联系我们进行处理。