跳到主要内容
版本:3.7.0

创建和管理IAM群组

为提升管理员对IAM用户的权限管理效果,平台提供IAM群组相关功能供管理员使用;如组织内存在部分IAM用户具备相同权限的情况,管理员可创建一个IAM群组并依据权限期望为该群组配置权限策略,IAM用户加入此群组即可继承IAM群组权限,后续需回收权限将IAM用户移出用户组即可。本章节将对平台IAM群组的功能和用法进行详情介绍,请您关注。

创建IAM群组

登录ONE平台后前往账户管理模块的访问控制页面的IAM群组管理功能Tab使用页面功能即可创建新的IAM群组。

image-20250912113155867

创建IAM群组时您需定义群组名称、备注、群组下需要包含的IAM用户以及当前群组内用户需要继承的权限范围。

image-20250912113616744

IAM群组创建页各功能元素使用说明:

  • 群组名称仅用于标识IAM群组,建议使用易懂且识别度较高的名称,以便后续在创建用户时可通过页面快捷功能直接将新创建的用户添加至合适的群组;
  • 成员管理,管理IAM群组下需要包含的IAM用户,将需要继承此群组权限的IAM用户添加至此群组即可;
  • 权限范围,用于指定后续此群组下的IAM用户访问平台的权限控制效果。如您期望了解更多群组权限配置实际效果可参考文档使用用户组批量管理权限
提示

平台支持一个用户同时加入多个群组,此类用户登录平台后的权限将按其自己具备的权限范围和其所有加入群组的权限范围取并集得到。

管理IAM群组

对应已创建的IAM主账户可登录平台对其进行管理,平台提供的用户管理功能包括:重置密码、冻结、解冻、修改授权、编辑用户信息、删除用户。

image-20250912115136997

信息
  • 主账户为平台管理员默认具备全部功能权限,如需特定的IAM用户也需要具备IAM群组管理功能的权限可修改此用户的角色权限配置实现;
  • 删除IAM群组后加入群组的IAM用户除权限继承外不受影响,但因删除用户组可能导致用户因权限缺失无法正常使用ONE平台功能,故不建议直接删除用户组。

IAM群组用法实践

为便于用户更好的理解IAM群组的作用,故增加使用示例进行说明。您可按以下示例步骤使用IAM群组:

第一步:梳理组织内的权限需求,如组织内按部门进行职责划分且部门内成员权限要求无明显差异,您即可规划将部门作为与ONE平台IAM群组对应的概念;

第二步:按组织内的部门情况创建IAM群组,一个部门对应一个群组;

第三步:按组织内人员和部门的关系将对应的IAM用户加入已创建的各个群组,如特殊角色具备多个部门的权限将其加入多个群组即可。

通过上述步骤调整用户访问ONE平台将自动按自己的部门情况具备相应的权限,如后续人员新增或人员部门调整仅需修改IAM用户和IAM群组的关联关系即可。