多用户访问控制
介绍
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
创建用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
云原生微服务应用平台CNAP支持系统策略和用户自定义两种,分别实现CNAP的产品级权限和工作空间级权限控制。
- 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
- 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个工作空间配置权限,更加灵活的满足账户对不同用户的差异化权限管理。
系统策略
系统策略包含管理权限、读写权限和只读权限3种策略,权限范围详细如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| CNAPFullControlPolicy | 完全控制管理CNAP的权限 | 工作空间变更及查看、集群资源变更及查看、应用环境变更及查看、应用变更及查看、仓库变更及查看、配置变更及查看、组件变更及查看、微服务变更及查看 |
| CNAPWritePolicy | 读写管理CNAP的权限 | 工作空间查看、集群资源查看、应用环境变更及查看、应用变更及查看、仓库变更及查看、配置变更及查看、组件变更及查看、微服务变更及查看 |
| CNAPReadPolicy | 只读管理CNAP的权限 | 工作空间查看、集群资源查看、应用环境查看、应用查看、仓库查看、配置查看、组件查看、微服务查看 |
自定义策略
自定义策略是从工作空间维度进行授权,与系统策略不同,只对选定的工作空间生效。
子用户先通过左侧导航栏进入【策略管理】,切换到【自定义策略】类型,然后点击“创建策略”,其中策略生成方式为策略生成器。进入策略创建页面后,点击【添加权限】,用户填写策略名称并选择服务类型为云原生微服务应用平台CNAP,选择【工作空间】和权限即可。
自定义权限范围详细如下:
| 权限说明 | 权限范围 | 是否仅支持所有资源类型 |
|---|---|---|
| 工作空间变更 | 工作空间创建、更新、删除 | 否 |
| 工作空间只读 | 读取工作空间详情、读取空间应用列表、查看追踪事件 | 否 |
| 集群变更 | 集群的创建、更新、删除 | 是 |
| 集群只读 | 查看集群列表 | 是 |
| 环境变更 | 环境的创建、更新、删除 | 否 |
| 环境只读 | 查看环境列表、读取环境详情 | 否 |
| 配置变更 | 配置信息的创建、更新、删除、发版 | 否 |
| 配置只读 | 查看配置信息、查看配置版本、查看配置生效范围 | 否 |
| 仓库变更 | 镜像仓库的创建、更新、删除 | 否 |
| 仓库只读 | 查看镜像仓库列表 | 否 |
| 应用变更 | 应用、部署组、访问方式、上线变更单的创建、更新和删除、使用webshell | 否 |
| 应用只读 | 查看应用、部署组、访问方式、上线单,查看容器日志 | 否 |
| 微服务变更 | 查看服务列表、微服务实例列表、服务详情、服务ip信息、服务治理(路由、限流、熔断)规则 | 否 |
| 微服务只读 | 服务治理规则(路由、限流、熔断创建、更新、删除; | 否 |
| 组件变更 | 组件的创建、更新、删除 | 是 |
| 组件只读 | 查看组件列表 | 是 |
用户授权
在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。
说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
其他详细操作参考:多用户访问控制。
