文档中心>集团账号管理>实践教程>通过子账号授权统一管理企业多账号的身份和权限

通过子账号授权统一管理企业多账号的身份和权限

最近更新时间:2024-11-04 18:06:02

我的收藏
本文为您介绍如何通过子用户授权管理企业的多个账号及登录权限,提升整个组织管理成员的效率。

业务场景

在企业内的运维部门,在不同的方向,例如安全、网络、监控等都有专门的 IT 部门或管理人员负责。当企业在云上有多个账号时,这些 IT 管理人员通常会同时在企业内多个账号下配置权限,用于配置账号下网络信息、安全设置等。

客户痛点

在多个账号下配置权限,操作复杂,不同账号间也难以保证一致性。
在不同账号下分别配置子账号,会造成子账号过多,提升管理复杂度,也可能会因管理不善导致账号泄露。
员工权限变更后,难以准确识别员工名下的子账号和权限,清理回收复杂。

方案介绍




1. 将企业管理账号与企业内部账号集成,集成后支持员工通过 SSO 登录到腾讯云。
2. 在企业管理账号下,为员工创建子用户。
3. 根据企业内职能划分,构建多账号管理的身份,并为不同的身份配置访问权限。
4. 将身份信息与企业的云账号进行关联,关联后,即可使用关联的身份管理该云账号。
5. 为企业管理账号下的子用户授权,指派可以管理的云账号和身份。
6. 企业员工通过SSO登录到腾讯云,即可查看到其被授予的可以管理的云账号和身份,可以快速切换访问指定的账号。

实践应用

本文将提供一个示例,使用管理账号先在集团账号中创建一个成员(user),再新建一个成员登录权限(tag_admin),该登录权限仅定义了标签的管理权限。
然后在成员(user)上配置该登录权限(tag_admin)。最后通过创建集团管理策略,授权子用户(Product)登录管理成员账号的权限,实现管理账号的子用户(标签管理员)仅能访问并管理成员(user)中的标签资源。

前提条件

1. 请确保您已开通了集团账号,并搭建了企业的多账号组织结构。更多信息,请参见 创建集团组织
2. 请使用集团账号的管理账号或管理账号的子用户进行操作。

操作步骤

1. 登录集团账号管理控制台 > 成员账号管理
2. 单击添加成员,在添加成员页面新建或邀请成员,本示例中,将新建一个名为 user 的成员,具体操作,请参见 添加组织成员



3. 成员登录权限设置 页面,单击新建登录权限。本示例中,将创建一个名为 tag_admin 的登录权限,绑定预设策略 QcloudTAGFullAccess。具体操作,请参见 创建成员登录权限



4. 成员权限配置页面,为成员 user 配置登录权限 tag_admin,配置成功后则会在成员账号下创建角色OrganizationAccesstag_adminMngRole。具体操作,请参见 为成员配置登录权限



5. 多成员授权管理 > 添加子用户授权 页面,通过创建集团管理策略(tag_Product),授权子用户(Product)登录管理成员账号(user)标签的权限。具体操作,请参见 授权登录成员账号
新建集团管理策略(tag_Product)



授权子用户(Product)登录管理成员账号(user)标签的权限



6. 成员登录 页面,管理账号子用户(Product)登录成员账号(user),以角色身份(OrganizationAccesstag_adminMngRole)访问成员(user)中的标签资源。




后续步骤

您可以参照上述方法创建多个成员账号和访问配置,在多个成员上授权,实现多账号身份和权限的统一管理。