You need to enable JavaScript to run this app.
导航
子用户项目权限管理
最近更新时间:2024.06.25 10:03:52首次发布时间:2024.06.25 10:03:52

用户是访问控制的一种身份,由账号(也称主账号)或是拥有权限的用户创建。用户被授予策略后,可登录控制台或使用访问密钥(Access Key)调用 API 访问云资源。每个主账号可以创建多个子用户,并为不同的子用户授予不同的权限,以此管理账号下不同身份对云资源的访问权限。本文介绍如何为子用户设置使用 HBase 服务的相关权限。

适用场景

  • 独立管理资源:为不同业务创建不同的项目,通过子用户访问不同业务所属的资源。

  • 安全问题:使用子用户的 AK/SK 调用 OpenAPI 接口,可有效避免主账号 AK/SK 的泄露风险。

权限说明

策略管理

IAM 支持两种类型的策略:系统预设策略和自定义策略,详情请参见策略概述

说明

  • 若需要使用子用户访问 HBase 服务的相关内容,至少需要为子用户赋予系统预设策略中的表格数据库 HBase 版、私有网络、云监控服务的管理或只读权限。

  • 云监控只能为子用户在全局范围内添加该权限,不可添加为项目权限。

  • 系统预设策略:是由火山引擎创建和管理的一些常见的权限集合,粒度较粗。系统预设策略只能用于授权,不可编辑和修改。

    关联服务策略名说明

    火山引擎中所有支持 IAM 的产品

    AdministratorAccess

    包含全部支持 IAM 的产品的管理权限,例如包含 ECSFullAccess、VPCFullAccess、IAMFullAccess、CloudMonitorFullAccess 等。

    说明

    拥有 AdministratorAccess 权限的子用户在授权范围内(项目或者全局)将拥有对火山引擎所有产品的管理权限,请谨慎授权。

    表格数据库 HBase 版HBaseFullAccess表格数据库 HBase 版全部管理权限。添加此权限后,用户会拥有策略作用范围内表格数据库 HBase 版的读写权限,如创建实例、删除实例、变更实例配置等。
    HBaseReadOnlyAccess表格数据库 HBase 版只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例。
    私有网络VPCFullAccess私有网络(VPC)的全部管理权限。添加此权限后,用户会拥有策略作用范围内私有网络的读写权限,如创建私有网络、为 HBase 实例绑定私有网络或子网等。
    VPCReadOnlyAccess私有网络(VPC)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例的私网和子网信息。
    云监控CloudMonitorFullAccess云监控(CloudMonitor)的全部管理权限。添加此权限后,用户会拥有策略作用范围内 HBase 实例的监控告警的读写权限,如查看实例的监控数据、为实例添加告警策略等。
    CloudMonitorReadOnlyAccess云监控(CloudMonitor)的只读访问权限。添加此权限后,用户可以查看策略作用范围内 HBase 实例的监控数据。
  • 自定义策略:手动创建的更精细化的描述对资源管理的权限集合,当系统预设策略不能满足要求时,您可以创建自定义策略,对权限进行细粒度的定义。操作详情请参见新建自定义策略

作用范围

选择策略后,可根据需要为子用户指定策略的生效范围:

  • 全局权限:添加全局权限后,用户获得的权限策略对账号内所有项目(包括未来新增项目)生效。

  • 项目权限:添加项目权限后,用户获得的权限策略仅对指定项目内的资源生效。

操作步骤

  1. 使用主账号登录 HBase 控制台,并在右上角个人中心,单击访问控制

  2. 访问控制 > 身份管理 > 用户页面,单击新建用户

  3. 创建用户页面,选择创建用户的方式,并填写基本信息。

    1. 自定义创建: 通过用户名创建

    2. 邀请其他账号: 通过手机号创建邀请巨量引擎账号

  4. 权限设置向导页中,为该用户设置权限策略和作用范围。

    授予权限类型权限策略

    管理权限

    若需要让子用户拥有 HBase 的管理权限,您需要为子用户授予以下权限。

    • 添加 CloudMonitorFullAccess 为全局权限。
    • VPCFullAccessHBaseFullAccess 可选择添加为全局权限(所有项目的管理权限)或项目权限(指定项目的管理权限)。

    只读权限

    若需要让子用户拥有 HBase 的只读权限,您需要为子用户授予以下权限。

    • 添加 CloudMonitorReadOnlyAccess 为全局权限。
    • VPCReadOnlyAccessHBaseFullAccess 可选择添加为全局权限(所有项目的只读权限)或项目权限(指定项目的只读权限)。

    说明

    子用户创建成功后,您也可以随时修改其权限策略,操作详情请参见管理用户

  5. (可选)为子用户创建 AK/SK。关于创建 AK/SK的详细信息,请参见 Access Key(密钥) 管理