介绍

多用户访问控制，主要用于帮助用户管理云账户下资源的访问权限，适用于企业内的不同角色，可以对不同的工作人员赋予使用产品的不同权限。当您的企业存在多用户协同操作 AI 原生网关资源时，推荐您使用多用户访问控制。

适用于下列使用场景：

• 中大型企业客户：对公司内多个员工授权管理，如管理员负责创建和删除网关实例，运维人员负责日常配置变更，其他人员仅查看资源状态；
• 偏技术型 vendor 或 SAAS 平台商：对代理客户进行资源和权限管理；
• 中小开发者或小企业：添加项目成员或协作者，进行资源管理。

创建子用户

1. 主账号用户登录后在控制台选择"多用户访问控制"进入用户管理页面。

2. 在左侧导航栏点击"用户管理"，在"子用户管理列表"页，点击"创建子用户"。

3. 在弹出的"创建子用户"对话框中，完成填写"用户名"和确认，返回"子用户管理列表"区可以查看到刚刚创建的子用户。

配置策略

AI 原生网关支持系统策略，实现 AI 原生网关的产品级权限控制。

• 系统策略：百度智能云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。

说明：

• AI 原生网关的产品级权限分为只读、运维、管理三类。被授权的子用户对账号下所有 AI 原生网关实例生效。
• 运维权限完全覆盖只读权限，管理权限完全覆盖只读、运维权限。
• 网关实例下的路由、服务、消费者、域名等子资源均归属于 AI 原生网关产品级权限范围，不需要单独授权。

权限范围

AI 原生网关系统策略的名称与三级权限的对应关系如下：

产品	只读权限	运维权限	管理权限（完全控制）
AI原生网关 AIGW	AIGWReadAccessPolicy	AIGWOperateAccessPolicy	AIGWFullControlAccessPolicy

各策略的适用角色与权限范围如下：

系统策略	适用角色	权限说明
AIGWReadAccessPolicy（只读权限）	低权限运维人员	对账号下所有 AI 原生网关实例拥有查看权限，包含实例、路由、服务、消费者、IP 白名单、域名、插件等查询类操作
AIGWOperateAccessPolicy（运维权限）	运维人员	在只读权限基础上，增加实例内全部变更操作，包含编辑实例与网关配置、路由配置、服务管理、消费者管理、IP 白名单配置、域名管理、插件管理等；不包含创建、删除 AI 原生网关实例
AIGWFullControlAccessPolicy（管理权限）	管理员	在运维权限基础上，增加实例生命周期操作，即创建、删除 AI 原生网关实例，拥有 AI 原生网关全部操作权限

注意：

• 当前仅支持产品级粒度权限，暂不支持针对单个 AI 原生网关实例授权的实例级权限，也不支持操作级细粒度权限。
• 运维权限不包含创建和删除 AI 原生网关实例，如需开通请授予管理权限。
• AI 原生网关部分功能依赖其他云产品（如容器引擎 CCE、微服务引擎 MSE、Prometheus 监控 CPROM、日志服务 BLS、函数计算 CFC、证书管理等），如子用户需要在 AI 原生网关控制台中选择或查看这些产品的资源，请同时为其授予相应产品的权限。

用户授权

在"用户管理->子用户"管理列表页的对应子用户的"操作"列选择"添加授权"，搜索 AIGW，为子用户选择系统策略进行授权。

说明： 如果在不修改已有策略规则的情况下修改某子用户的权限，只能通过删除已有的策略并添加新的策略来实现，不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后，可以将登陆链接发送给子用户；子用户可以通过 IAM 用户登录链接登录主账号的管理控制台，根据被授权的策略对主账户的 AI 原生网关资源进行操作和查看。

其他详细操作参考：多用户访问控制。