创建IAM子用户
最近更新时间:2023.05.12 11:35:55
首次发布时间:2022.09.19 22:02:45
1 子用户介绍
您需要使用主账号demo01登陆控制台,在右上角账户下选择访问控制->身份管理>用户下新建2个IAM子用户demo02、demo03作为本次演示需要使用的用户。整体说明如下表格参考:
说明
访问控制:了解主账号和IAM子用户有什么区别请点击查看
例如在企业里,企业使用主账号购置云资源,并将云资源的访问权限按需分配给不同IAM用户。企业员工可使用IAM用户登录控制台或请求API来访问云资源。从而让企业员工以最小化、最合理的权限实现团队协作,有效保障云资源的安全性。
| IAM子用户 | 所属项目 | 项目说明 | 账号角色 | 账号用途 |
|---|---|---|---|---|
| demo02 | Demo_Workshop | 特惠版演示项目workshop | 管理员,开发 | 数仓Owner |
demo03 | Demo_Workshop | 特惠版演示项目workshop | 开发 | 数据观察者、 |
请先创建子用户,后期将通过子用户到Dataleap控制台创建项目(以下4步仅为预告,这里无需操作)
创建IAM子用户demo02,demo03
使用demo02创建准备开发的项目环境
使用demo02创建LAS库表专题配置,schema库ODS,DIM,DWD,DWM,每个库管理层级所属的表
使用LAS集群时,推荐使用default这个实例,使用DML语句把数据模型定义好
2 创建IAM子用户
2.1 新建用户
在主账号下点击【访问控制】
点击新建用户
在自定义创建中,选择【通过用户名创建】
基本信息设置,手机号,邮箱(接受告警通知等)、打开自动生成秘钥,点击下一步
2.2 分配角色策略权限
权限设置,关联策略选择,在搜索框中输入策略名,在左侧策略名左侧方框,确认已勾选上
demo02输入关键字DataLeap,EMR,LAS, AccessKey,RDS,TOS,vpc 等
| 输入关键字 | 策略名 | 备注 | 策略类型 |
|---|---|---|---|
| DataLeap | DataLeapFullAccess | 大数据研发治理套件DataLeap全读写策略 | 系统预设策略 |
| EMR | EMRFullAccess | EMR全访问权限 | 系统预设策略 |
| LAS | LASFullAccess | 湖仓一体化分析服务(LAS)全读写权限 | 系统预设策略 |
| AccessKey | AccessKeyFullAccess | 该策略包含密钥管理全读写权限 | 系统预设策略 |
| RDS | RDSMySQLFullAccess | 该策略为RDS for MySQL全读写访问权限 | 系统预设策略 |
| TOS | TOSFullAccess | 对象存储(TOS)全读写访问权限 | 系统预设策略 |
| Kafka | KafkaFullAccess | 该策略为消息队列 Kafka版全读写访问权限 | 系统预设策略 |
| vpc | VPCFullAccess | 该策略为私有网络(VPC)全读写访问权限 | 系统预设策略 |
确认子用户体验Dataleap相关的策略权限都已具备,点击提交,显示子用户demo02创建成功
点击管理
可为子用户demo02开启密钥,点击「新建密钥」也支持创建密钥(至多2个),并支持下载凭证,以用于创建数据集成资源组等服务时使用,通过子用户做申请管理,降低使用主账号密钥的风险
显示密钥创建成功,您可查看密钥详情,也可下载凭证到本地,以便未来按需使用
下载后,请妥善保管好密钥信息,以便下次方便使用
- 您也可以随时通过手机短信实时获取动态密
按上述方法新增IAM子用户demo03,显示创建完成
- demo03只需配置策略DataLeapFullAccess、LASFullAccess 这2个策略即可,并无需配置密钥
2.3 分配LAS队列权限
说明
需要通过主账号demo01在LAS控制台授予子用户demo02、demo03的LAS公共队列权限,您才可以使用子用户demo02进行数据导入,LAS数据开发等任务
使用主账号demo01 点击LAS控制台
选择权限管理,点击添加队列
输入demo02,demo03 角色改为Developer、点击确定
LAS队列授权操作成功
