多账户和用户访问控制
更新时间:2019-11-29
多账户和用户访问控制概览
基本概念
企业组织(账户体系):使用企业组织服务,您可以将相关账户加入企业组织,组织成员具有层级关系的结构,上层可以管理下层的财务和资源、控制下层账户的权限和策略。
详情参考 企业组织
多用户访问控制(IAM):主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。
详情参考 多用户访问控制
云顾问访问控制功能简介
1)支持主账号在企业组织分配管理子账号的云顾问产品操作权限;
2)支持主用户在多用户访问控制IAM分配管理子用户的云顾问产品操作权限;
3)支持子用户对其有权限的资源发起检查。
云顾问的产品级权限种类
三种权限说明如下表:
| 权限 | 权限名称 | 权限说明 | 权限范围 |
|---|---|---|---|
| 云顾问产品管理 | ACAFullAccessPolicy | 完全控制云顾问的权限 | 云顾问产品所有操作权限 |
| 云顾问产品运维 | ACAOperateAccessPolicy | 运维操作云顾问的权限 | 云顾问产品绝大多数操作权限(无账户欠费检查返回权限) |
| 云顾问产品只读 | ACAReadAccessPolicy | 只读访问云顾问的权限 | 只读访问云顾问的权限 云顾问报告查看权限(不包括发起检查、设置检查项开关、设置检查对象,无账户欠费检查返回权限) |
在企业组织中对云顾问做授权
入口:企业组织-权限策略,创建或编辑策略;
当服务名称选择”云顾问ACA“时,可选择云顾问两种产品级策略(管理、运维)。
在多用户访问控制IAM中对云顾问做授权
入口:IAM-策略管理-系统策略;
在系统策略列表中,支持了云顾问的3种产品级策略(管理、运维、只读)
