創建用戶并授權使用軟件開發生產線控制臺

如果您需要對您所擁有的軟件開發生產線控制臺進行精細的權限管理，您可以使用統一身份認證服務（Identity and Access Management，簡稱IAM），通過IAM，您可以：

• 根據企業的業務組織，在您的帳號中，給企業中不同職能部門的員工創建IAM用戶，讓員工擁有唯一安全憑證，并使用軟件開發生產線資源。
• 根據企業用戶的職能，設置不同的訪問權限，以達到用戶之間的權限隔離。
• 將軟件開發生產線資源委托給更專業、高效的其他帳號或者云服務，這些帳號或者云服務可以根據權限進行代運維。

如果帳號已經能滿足您的要求，不需要創建獨立的IAM用戶，您可以跳過本章節，不影響您使用軟件開發生產線的其它功能。

本章節為您介紹對用戶授權的方法，操作流程如下圖所示。

前提條件

給用戶組授權之前，請您了解用戶組可以添加的軟件開發生產線控制臺權限，并結合實際需求進行選擇，軟件開發生產線支持的系統權限，請參見“《軟件開發生產線產品介紹》>權限管理”。

示例流程

給用戶授予軟件開發生產線控制臺權限流程

1. 創建用戶組并授權

在IAM控制臺創建用戶組，并授予軟件開發生產線控制臺只讀權限“DevCloud Console ReadOnlyAccess”。

2. 創建用戶并加入用戶組

在IAM控制臺創建用戶，并將其加入上面1中創建的用戶組。

3. 并驗證權限

新創建的用戶登錄控制臺，驗證權限：

• 在“服務列表”中選擇軟件開發生產線，進入“總覽”頁面，單擊基礎版“立即購買”，嘗試開通軟件開發生產線，如果無法開通軟件開發生產線（假設當前權限僅包含DevCloud Console ReadOnlyAccess），表示“DevCloud Console ReadOnlyAccess”已生效。
• 在“服務列表”中選擇除軟件開發生產線外（假設當前策略僅包含DevCloud Console ReadOnlyAccess）的任一服務，若提示權限不足，表示“DevCloud Console ReadOnlyAccess”已生效。

軟件開發生產線控制臺自定義策略

如果系統預置的軟件開發生產線控制臺權限，不滿足您的授權要求，可以創建自定義策略。

目前支持以下兩種方式創建自定義策略：

• 可視化視圖創建自定義策略：無需了解策略語法，按可視化視圖導航欄選擇云服務、操作、資源、條件等策略內容，可自動生成策略。
• JSON視圖創建自定義策略：可以在選擇策略模板后，根據具體需求編輯策略內容；也可以直接在編輯框內編寫JSON格式的策略內容。

具體創建步驟請參見：“《統一身份認證用戶指南》?>創建自定義策略”。本章為您介紹常用的軟件開發生產線控制臺自定義策略樣例。

軟件開發生產線控制臺自定義策略樣例

• 示例1：授權用戶在控制臺訂購軟件開發生產線

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                " 
                     devcloud:monthlyPackage:subscribe 
                 " 
            ] 
        } 
    ] 
}

• 示例2：拒絕用戶變更軟件開發生產線套餐規格

拒絕策略需要同時配合其他策略使用，否則沒有實際作用。用戶被授予的策略中，一個授權項的作用如果同時存在Allow和Deny，則遵循 Deny優先原則 。

如果您給用戶授予DevCloud Console FullAccess的系統策略，但不希望用戶擁有DevCloud Console FullAccess中定義的變更軟件開發生產線套餐規格，您可以創建一條拒絕變更軟件開發生產線套餐規格的自定義策略，然后同時將DevCloud Console FullAccess和拒絕策略授予用戶，根據Deny優先原則，則用戶可以在軟件開發生產線控制臺中，執行除了變更軟件開發生產線套餐規格外的所有操作。拒絕策略示例如下：

{ 
    "Version": "1.1", 
    "Statement": [ 
        { 
            "Effect": "Allow", 
            "Action": [ 
                " 
                     devcloud:monthlyPackage:subscribe 
                 " 
            ] 
        } 
    ] 
}

• 示例3：多個授權項策略

一個自定義策略中可以包含多個授權項，且除了可以包含本服務的授權項外，還可以包含其他服務的授權項，可以包含的其他服務必須跟本服務同屬性，即都是項目級服務或都是全局級服務。多個授權語句策略描述如下：

{  
        "Version": "1.1",  
        "Statement": [  
                {  
                        "Action": [  
                                "devcloud:*:listResourceDetail",  
                                "bss:order:update",  
                                "ecs:cloudServers:delete" 
                        ],  
                        "Effect": "Allow"  
                }  
        ]  
}