配置身份与访问

本操作用于在云平台中根据客户实际业务需求和企业组织结构，配置云平台用户的身份和访问权限，实现资源的精细化授权管理，满足企业对权限最小化的安全管控要求。

配置业务组织

根据客户实际的业务需求和企业组织结构，按照部门/项目层级进行合理的业务组织规划后，请执行本操作在云平台中搭建对应的组织结构。

1. 创建部门。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[部门]，进入“部门”页面。

   2. 单击 创建部门 ，弹出“创建部门”对话框。

   3. 配置参数后，单击 创建，完成操作。

      

2. 创建项目。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[项目]，进入“项目”页面。

   2. 单击 创建项目 ，弹出“创建项目”对话框。

   3. 配置参数后，单击 创建 ，完成操作。

      

配置访问策略（可选）

根据客户实际的业务需求，按照业务角色进行合理的访问控制策略规划后，请执行本操作在云平台中配置对应的角色和策略。

1. （可选）创建策略。

   在云平台中，默认提供CloudAdminAccess、DomainAdminAccess、ProjectAdminAccess和MemberAccess四个系统策略供用户使用，具体说明请参考 基本概念。请根据客户实际业务需求酌情配置。若无需自定义策略，可跳过本步骤。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[策略]，进入“策略”页面。

   2. 单击 创建策略 ，进入“创建策略”页面。

   3. 配置参数后，单击 创建，完成操作。其中，在“策略内容”区域框中，通过单击 添加服务可以添加多个策略内容，通过单击 克隆可以依据当前策略内容克隆一个相同内容的新策略，通过单击 删除可以删除当前所选策略内容。

      在配置“配置方式”参数的值时，可以选择“可视化配置”，也可以选择“JSON配置”。两种配置方式的配置效果相同，可通过切换配置方式以不同形式查看该配置内容。两种配置方式的具体说明如下：

      说明：

      当已安装“多区域管理”云产品时，策略内容还需配置该访问控制策略的适用区域。

      • 可视化配置：通过可视化页面的方式，配置操作效果、服务、操作和资源等策略内容。

      • JSON配置：通过JSON语法，配置操作效果、服务、操作和资源等策略内容。

        • 当安装多区域管理云产品时，JSON语法的格式及说明如下:

          {
              "<region>": {
                  "<service>": {
                      "<tags>": {
                          "<verb>": {
                              "resource_ids": [
                              "<resource>"
                              ],
                              "effect": <effect>
                          }
                      }
                  }
              }
          }
          

        • 当未安装多区域管理云产品时，JSON语法的格式及说明如下:

          {
              "<service>": {
                  "<tags>": {
                      "<verb>": {
                          "resource_ids": [
                              "<resource>"
                          ],
                          "effect": <effect>
                      }
                  }
              }
          }
          

        参数	说明
        region	该策略内容的适用区域，支持配置多个区域。 当配置当前IDP区域时，请输入“local_cloud”。当配置SP区域时，请输入区域ID。 仅当已安装“多区域管理”云产品时，才需配置此参数，否则请参考上述格式删除此层级内容。
        service	该策略内容的服务。 目前仅支持配置“云开放平台”，请输入“ecp”即可。
        tags	无实际意义，仅为语法标记，每个该标记下包含一组verb（操作），支持输入多组verb（操作）。该参数值可输入tag或action。 当该策略的verb（操作）项是“全部选择”时，该参数值请输入tag。否则，请配置为action。
        verb	该策略内容的操作。该参数值可输入list、read、write或*。其中，list代表“列表”，read代表“读”，write代表“写”，*代表“全部选择”。
        resource	该策略内容的资源。 当需要配置为“全部资源”时，请输入.* 。当需要配置指定资源时，请输入资源指定标识，多个资源之间请用英文逗号隔开。
        effect	该策略内容的操作效果。该参数值可输入true或false。其中，true代表“允许”，false代表“拒绝”。

2. （可选）配置角色。

   在云平台中，默认提供云管理员、部门管理员、项目管理员和普通用户四个系统角色供用户使用，具体说明请参考 基本概念。请根据客户实际业务需求酌情配置。若无需自定义角色，可跳过本步骤。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[角色]，进入“角色”页面。

   2. 单击 创建角色 ，进入“创建角色”页面。

   3. 配置参数后，单击 创建，完成角色创建。

      

   4. 在成功创建的结果显示页面中，单击 分配策略，在弹出的“分配策略”对话框中，直接为该角色配置访问控制权限。

      

配置用户访问

本操作用于在云平台中按照业务组织规划配置各用户的身份与访问权限。

1. 创建用户。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[用户]，进入“用户”页面。

   2. 单击 创建用户 ，进入“创建用户”的“用户信息”页面。

   3. 在“用户信息”页面中，配置参数后，单击 下一步，进入“授权”页面。

      

   4. 在“授权”页面中，通过在“可选角色”区域框中勾选角色（支持多选）并单击箭头移动，以添加已选角色。之后，单击 下一步，进入“分配项目”页面。

      

   5. 在“分配项目”页面中，通过在“可选项目”区域框中勾选项目（支持多选）并单击箭头移动，以添加已选项目。之后，单击 创建，完成操作。

      

2. （可选）创建用户组。

   本步骤用于在云平台中创建用户组，以实现通过用户组的形式对一组用户赋予相同的角色权限。当有新用户添加至该用户组时，能够继承该用户组的所有角色权限，以实现用户权限的高效管理。如无此业务需求时，可跳过本步骤。

   1. 在云平台的顶部导航栏中，依次选择[产品与服务]-[身份与访问管理]-[用户组]，进入“用户组”页面。

   2. 单击 创建用户组 ，弹出“创建用户组”对话框。

   3. 配置参数后，单击 创建，完成操作。

      

3. 授权用户/用户组。

   1. 在“用户组”或“用户”页面中，勾选待操作对象（支持多选）后，单击 授权 ，弹出“授权”对话框。

   2. 通过在“可选角色”或“已选角色”区域框中勾选角色（支持多选）并单击箭头移动，以添加或移除已选角色后，单击 确认，完成操作。

      

4. 分配项目。

   1. 在“用户组”或“用户”页面中，勾选待操作对象后，单击 分配项目 ，弹出“分配项目”对话框。

   2. 通过在“可选项目”或“已选项目”区域框中勾选项目（支持多选）并单击箭头移动，以添加或移除已选项目后，单击 确认，完成操作。