基本概念
并行文件存储 PFS 已经接入了百度智能云IAM平台,用户可以在IAM平台创建子用户,对云上业务进行细粒度管理和使用。
百度智能云IAM子用户有如下特点:
- 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源,但计费主体依然是主用户。
- 子用户可以独立使用管理控制台和API。
- 主用户可以对子用户进行授权,在IAM里授权是通过给子用户关联策略来完成的,一个子账号可以关联多个策略。
IAM子用户应用场景
用户可以在百度智能云上通过主子用户体系,灵活使用PFS资源。
-
企业子用户管理与分权
企业A使用百度智能云账号购买了多种云资源(如BCC实例/PFS实例/BLB实例/BOS存储/...),A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的密钥直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。
-
企业之间的资源操作与授权管理
A和B代表不同的企业。A购买了多种云资源(如BCC实例/PFS实例/BLB实例/BOS存储/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工,即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。
策略说明
PFS在云上提供了系统策略模式。
系统策略,主用户对子用户授予后,子用户可对主用户名下所有PFS资源进行相应的操作能力,共有如下三种系统策略:
- PFSFullcontrolAccessPolicy:完全控制并行文件存储(PFS)的权限
- PFSOperateAccessPolicy:运维操作并行文件存储(PFS)的权限
- PFSReadAccessPolicy:只读访问并行文件存储(PFS)的权限
操作步骤
-
策略创建
进入“管理控制台”,选择“多用户访问控制”
选择“策略管理”,搜索PFS,可以看到PFS相关系统策略。
-
为子用户授权
主用户可为子用户授予策略。在“用户管理”页签选择“子用户”,为子用户添加权限。
选择“全部策略”或“系统策略”,搜索PFS获取相应策略列表,选择希望授予子用户的权限,点击“确定”即可将权限赋予子用户。
删除子用户授权:点击用户名,进入“子用户详情页面”,“权限信息”处可以看到此用户拥有的权限,点击“删除”可以将此权限从用户权限中去掉。
