使用IBM Cloud IAM 进行权限管理 (2) - 对象存储，账单与工单权限的管理

使用IBM Cloud IAM 管理云端资源 - 对象存储，账单与工单权限的管理

管理用户对COS的访问
目前项目有两个对象存储服务，其中一个计划存放系统日志，因此，新用户能够下载和查看就足够了。另外一个对象存储，希望新用户不但能够下载其中的对象，还能够创建自己的存储桶，并且能够向存储桶里上传文件。

操作步骤如下：

1. 为新用户创建Access Group。这样做的好处是，以后如果有新的小朋友加入，只需要把他加入分组就好，无需为他单独设置权限。
   步骤：打开IBM Cloud Portal，选择IAM，进入IAM控制界面
   
   选择 Access Groups，然后点击 Create
   
   给Access Group 起个名字，如下
   

2. 把新成员添加到刚刚建好的组里
   
   勾选需要添加的用户
   
   点击 Add to group
   
   看到 User 已经被正确添加到 Access Group – ProjectA 中。
   

3. 给这个Access Group添加权限
   点击 Access policies
   
   点击 Assign access
   
   给用户授予对象存储的访问权限，属于 IAM service。勾选 IAM services, 在下拉列表中选择 Cloud Object Storage； in 后面选择 Account，意思是整个账号下面的COS服务都可访问，需要在下面的选项中进一步细化。在Service Instance后面选择要授权的COS, 此处为 ProjectA-viewer
   
   在下面的角色选项中， platform access 选择 Viewer，给予用户搜索该实例的能力，在Service access勾选 Reader 与 Content Reader，给予用户列举和查看存储桶对象的权利。点击右下角的Add
   
   点击右侧 Access Summary下面的 Assign

此时可以看到刚刚添加的Policy在 Access Group中，生效了

此时，整个Access Group就具有了访问ProjectA-viewer的权限。请新的user在resource list下面查看对象存储。

继续进入COS, 验证是否具有下载存储对象的权限。任意进入一个bucket。

证明新用户可以下载bucket中的资源。

下面，继续给新用户授予ProjectA-Writer的权限。

仍然回到IAM权限管理，Access Groups页面，选择 ProjectA

在 Access policies 页面选择 Assign access

授权方式跟刚才完全类似，只不过这次在做权限选择的时候，把Reader改为Writer

此时，新的用户应该可以看到另一个COS也可以访问了。并且能够在这个COS中下载对象，还可以创建存储桶。

创建新的bucket

新创建了一个名为bk4new的bucket，同时可以把文件上传到bucket中。

为用户设置账单访问和工单权限
下面用访问组的方式，为项目经理和开发工程师设置看账单和开工单的权限。
首先新建访问组，项目初期只对PrjA-Dev环境进行操作。

将项目各团队用户添加到访问组：


在用户列表中选择要授权的用户，将他们加入到访问组：

现在设置访问策略（Access Policy），为访问组中的所有用户配置对账单和工单对象的访问权。
IAM访问策略三要素是主体（访问组），目标（资源，实例，服务），角色（用户被授予的权限级别）。
最常见的角色是查看者（viewer），编辑者（editor）和管理员（administrator）。
 查看者是权限相对最少的角色，只能看帐户下有哪些实例和资源组。
 编辑者角色比查看者多的权限包括创建、编辑、删除和绑定服务实例。
 管理员角色能够对服务实例进行所有操作，还可以将访问权限分配给其他人。

选择“访问策略”菜单，点击“分配访问权”：

在访问权页面中，选择“账户管理”，先设置计费访问权，在访问权下拉列表中选择“Billing”，“资源类型”选择“所有资源类型”，平台访问权按需设置，在此我们设置为“编辑者”；点击“添加”，

检查各项输入无误，点击“分配”：

系统提示分配访问权成功：

重复上述步骤为访问组添加开工单的权限：



现在访问组中的用户登录IBM Cloud，就能够进行账单相关操作，并且能够操作工单了。