基本概念

并行文件服務HPFS已對接云平臺統一身份認證（IAM），支持通過IAM對HPFS的資源進行訪問控制管理。

使用前您需了解常用的基本概念，包括：帳號、IAM用戶、用戶組、身份憑證、授權、權限、項目、委托、身份憑證。詳細請查看：術語解釋

IAM的相關使用限制請查看：使用限制

IAM應用場景

IAM策略主要面向對同租戶帳號下，對不同IAM用戶授權的場景：

• 您可以為不同操作人員或應用程序創建不同IAM用戶，并授予IAM用戶剛好能完成工作所需的權限，比如HPFS的查看權限，進行最小粒度授權管理。

• 新創建的IAM用戶可以使用自己的用戶名和密碼登錄云服務平臺，實現多用戶協同操作時無需分享帳號的密碼的安全要求。

操作步驟

創建IAM用戶并授權使用HPFS，示例流程

1. 登錄天翼云控制臺，在右上角點擊頭像選擇“賬號中心”，在左側導航中選擇“統一身份認證”，或者直接點擊。

2. 在IAM里，左側導航中點擊“用戶組”，點擊右上角的“創建用戶組”。

   

3. 在“創建用戶組”界面，輸入用戶組名稱和描述，單擊“確定”，完成用戶組創建。用戶組是用戶的集合，IAM通過用戶組功能實現用戶的授權。

   

4. 您需要新建用戶或將已創建的用戶，加入剛建好的用戶組里。在左側導航窗格中，點擊“用戶”，點擊右上角“創建用戶”。

   

5. 在用戶組列表中，單擊新建的用戶組右側“查看”，可以檢查是否已將用戶添加到組中，確認符合預期后，點擊“授權”。

   

6. 選擇策略，在右上角“請輸入策略名稱進行搜索”框內輸入“并行”進行搜索，勾選需要授予用戶組的資源池級策略，單擊“下一步”。并行文件的管理者可以對資源進行創建、擴容、刪除等所有操作，并行文件查看者只支持查看資源列表、詳情。如您需要更細粒度的權限設置，可通過創建自定義策略來進行授權管理。

   

7. 由于并行文件在創建資源的是否，需要選擇企業項目，所以還需要將用戶也添加到企業項目并授權對應權限。在左側導航窗格中，點擊“企業項目”，選擇指定的企業項目一般為default，點擊右側“查看用戶組”。

   

8. 在用戶組tab頁，點擊“設置用戶組”，然后選擇新創建的用戶組。

   
   

9. 在加入的用戶組右側操作里，點擊“設置策略”，并選擇并行文件的對應策略。

   
   

10. 完成以上操作后，主賬號需要將創建IAM用戶時輸入的郵箱及密碼告知對應的員工，這些員工就可以使用郵箱和密碼登錄天翼云。如果登錄失敗，IAM用戶可以聯系管理員重置密碼。對應員工使用IAM用戶登錄HPFS管理控制臺，驗證用戶權限。

HPFS系統策略

HPFS自定義策略

如系統策略無法滿足您的需求，可以創建自定義策略，來實現更細粒度的權限管理場景。

1. 點擊左側導航窗格的“策略管理”，點擊策略管理頁面的“創建自定義策略”按鈕，進入創建自定義策略頁面。

2. 輸入策略名稱、策略描述等基本信息后，點擊“下一步”。

3. 選擇“可視化視圖”。

4. 效果：選擇“允許”或“拒絕”。

5. 云服務：選擇“并行文件”。

6. 選擇“操作”，根據場景需求勾選產品權限。

7. （可選）在“策略配置方式”選擇JSON視圖，將可視化視圖配置的策略內容轉換為JSON語句進行檢視和編輯，您可以在JSON視圖中對策略內容進行修改。

8. 單擊“確定”，完成自定義策略的創建。

   注意

   在自定義策略時，如果您的子賬戶是在控制臺進行使用，您需要添加操作相關的三元組，也需要添加加載此頁面所需要的三元組。比如，您要在控制臺的文件列表頁面刪除某個文件系統，您除了需要配置刪除文件系統的三元組外，還需要添加查詢文件系統列表的相關三元組。

控制臺操作場景

API操作場景