操作场景
当您创建好云身份中心用户后,需要授予用户访问到各账号的登录访问权限。
当用户访问火山引擎云资源的权限访问具备可抽象的共性时,如:网络运维权限、安全管理权限等,推荐您在云身份中心预置访问权限集,并基于访问权限集快速授予云身份中心用户到各个账号的访问权限。
此方案能够将用户的授权收敛在云身份中心管理账号上集中完成,避免授权管理分散在各个账号中,导致增加企业人员权限运维的复杂度。
前提条件
操作步骤
本文使用以下场景为例:
企业员工小山,作为网络运维,需要以网络运维管理员权限访问企业组织内的两个火山引擎账号(WorkLoad 和 SandBox),以读写相关账号的网络资源。
使用企业组织的管理员账号下有权限的IAM子用户登录火山引擎控制台,进入多账号访问授权页面。页面左侧展示了企业组织内全部节点。
首先需要指定被授权访问的账号。在角色访问授权页签下,点击配置角色访问权限,选择其中WorkLoad 和 SandBox所在的节点,点击选择WorkLoad 和 SandBox两个账号,勾选后点击列表下方开始配置。
在弹窗中指定授权对象,此处需要指定授予SSO权限的云身份中心用户。在本示例中企业员工小山在云身份中心中的用户名为XiaoShan,在此处选择XiaoShan,点击下一步。若您找不到XiaoShan,可以借助小山所在的部门进行搜索。配置完成后点击下一步。
在下一步中选择访问权限集,此处需要指定云身份中心用户访问火山引擎账号时所拥有的权限。访问权限集新建可参考新建访问权限集。选择所需的访问权限,确认后点击下一步。
在下一步中可以查看本次完成的配置详情:可查看本次待授权的全部用户、待访问的全部账号以及访问时可用的权限集。如您确定配置无误,点击开始配置。您可以在界面中查看每个配置任务的进行进度和结果。
下一步操作
企业员工授权访问多个账号后,即可前往查看账号授权详情。
如您需要处理失败的异常情况,可以前往任务执行管理。
确定授权完毕后,您可以向企业员工下发云身份中心门户地址,员工可以使用该地址登录到有权访问的火山引擎账号。