场景描述

假如您是 A 公司的管理者，在创建公司时注册了云账号 Company-A，购买了多种云资源（如BCC、BOS、CDN、RDS等）。假设 A 公司的人员结构如下，公司里有多个员工需要操作这些云资源，比如有的负责购买，有的负责运维，还有的负责资源查看及使用。由于每个员工的工作职责不一样，需要的权限也不一样。

对上述场景存在如下需求：

• 出于安全或信任的考虑，A 不希望将云账号密钥直接透露给员工，而希望能给员工创建独立的账号和权限。
• 所有员工账号进行的操作行为可审计。
• 不需要分别核算每个操作人员的成本，所发生费用统一计入主账号账单。

解决方案

针对以上场景，我们看看如何使用 IAM 来帮助您实现用户管理和资源权限的的分配。

第1步：给主账号开启登录保护

鉴于您之前可能与他人共用一个账号，账号泄露的可能性很高。建议您开启账号登录保护功能。

在您进行登录操作的时候，会给用户增加一层保护。该保护的措施是在正确输入账号和密码的前提下，还需要额外输入一种能证明身份的凭证。这样即使他人盗取用户密码，也无法登录用户账号，能够最大限度地保证账号安全。

第2步：创建子用户及用户组

根据上述企业场景，您需要分别给A、B、C、D、E、F用户分别创建不同的子用户账号，然后创建对应的产品管理组、财务组、运维组和只读组，再将所有涉及的用户添加到对应的组织中去，创建详情请参考用户管理和用户组管理。

第3步：为子用户开通双因素验证

考虑到管理和财务相关操作一般都较为敏感，您可能会担心管理员的账号密码泄露会带来巨大的风险，那么您可以为这些子用户开启双因素验证，而且可以将账号密码和双因素认证设备交给不同的人员分开保管，这样可以做到必须两人同时在场时才能完成账户登录和某些敏感操作。

第4步：给不同的用户组分配权限

IAM 提供了多种系统策略供您选择使用。根据上述场景，可以分配如下权限：

• 公司主管 A：授予系统管理员权限，拥有管理所有百度智能云资源的权限；
• 产品管理员 B： 授予产品的管理权限，拥有创建、删除实例，并且对实例进行相关操作的权限；
• 财务人员 C：授予财务权限（FCFullControlPolicy），拥有管理财务中心的权限；
• 运维人员 D、E：授予相关产品的运维权限，可以进行资源的相关配置和查看，但是不可以进行资源的创建、购买和删除；
• 只读人员 F：可以授予HR或者其他参与人员只读权限，可以用来查看相关产品的资源列表、日志等，但无操作权限。

如果您觉得IAM提供的系统策略不能满足您的细粒度需求，还可以设置自定义策略，来实现细粒度的资源、实例级权限设置。比如，授予子用户某个BCC实例的的管理权限，而不具有所有BCC实例的管理权限等。

子用户操作审计

公司主管A为了能够了解资源被使用的情况，可以通过操作记录查询每个子用户的操作访问情况，以便及时掌握子用户对资源实例所进行的操作记录，用于进行安全分析、资源变更以及合规性审计。详情参考操作记录。

员工岗位变动

如果有员工转岗，想要更换权限，则只需将该员工更换所在的分组即可；如果有员工离职或者出现问题，则只需要禁用该员工的账号即可，IAM会自动禁用该子用户的所有权限；如果有新员工入职，则需要为新员工开通一个子用户账号并为该账号授予对应权限即可。