多用户协作

多用户访问控制功能实现了多用户协同开发,项目管理者可以基于应用或者环境为其他开发测试人员开放查看、代码管理及部署等权限。项目管理者通过IAM子账号方式进行授权,即在主账号下添加子用户的账号并对子用户进行策略管理,子用户可以通过“IAM用户登录链接”访问主用户的资源。

应用和环境的权限范围说明如下:

权限类型权限权限范围备注
应用权限应用查看
  • 查看应用名称
  • 查看应用ID
  • 查看应用类型
  • 查看语言
  • 查看代码管理方式
  • 查看svn/git地址
  • 进入环境列表页面
  • 不可以修改应用名称、环境名称。
  • 如无环境被赋予“环境查看”权限,则环境列表为空。
  • 能否进入环境列表中具体显示的环境取决于“环境查看”权限关联的具体环境。
代码管理
  • 进入代码管理页面
  • 上传或下载代
    如无“部署代码”权限,则不能进行“部署到...”操作。
    环境权限环境查看
    • 在环境列表中看到相应的环境
    • 进入相应的环境详情页面
    • 不可以修改环境名称。
    • 如无“部署代码”权限,“部署”按钮置灰。
    • 不可以登录WebSSH、重启实例(后续这两个权限会独立出来)。
    环境启停
    • 启动环境
    • 暂停环境
    不可以删除环境。
    部署代码部署代码注意:如果没有“代码管理”权限,且代码管理方式为“打包上传”,则不可以进行“上传并部署”操作。
    环境设置
    • 编辑环境变量
    • 关联RDS
    • 关联SCS
    • 管理HTTPS监听协议
    • 编辑端口
    在RDS/SCS介入多帐号权限策略前,不可以通过BAE跳转到相应的RDS/SCS实例控制台页面。
    资源监控查看所有实例的相关监控数据"-
    日志查看查看所有实例的相关日志"-
    1. 主账号用户登录后在控制台右上角的用户名下选择“多用户访问控制”进入用户中心/IAM用户页面。

    2. 在“子用户管理列表”页面点击新建用户,将需要添加为子用户的账号名填入“登录名”,显示名为子用户希望显示的昵称,说明主要用于标识用户类型或其它说明。 添加成功后可以在列表中看到显示名和登录名,子用户可以通过主账号提供的IAM用户链接进行登录。

      说明:通过用户信息中添加的协作者用户会同步到“多用户访问控制”的用户列表中。

    3. 子用户添加完成后需要对子用户进行策略管理,点击“策略管理”进入权限策略列表页面设定子用户的操作及查看权限。

      策略包含系统策略和用户自定义策略两种。其中系统策略主要是百度云系统为了管理资源预定义的策略,如用于服务运行离线任务时使用,BAE专业版用户不用关注。BAE专业用户需要根据应用和环境的操作及查看的具体权限控制制定客户自定义策略。

    4. 选择“自定义策略”并点击“创建策略”。默认子用户会开启应用查看和环境查看的权限,其它权限用户根据需要选定设置。资源选择下的列表中可能有多个应用,应用展开可以看到环境,用户可以基于环境设置权限。

      说明: 添加或修改策略生效时间需要5分钟左右。

    5. 在子用户管理列表页的对应子用户的“操作”列选择“添加权限”,并选择用户自定义策略进行授权。

      • 如果用户在“添加权限”时被赋予了“系统管理员”权限后会等同于协作者,即协作者就是拥有“系统管理员”权限的子用户。
      • 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
    6. 子用户的账户和权限添加完成后,用户可以直接通过子用户管理列表的"IAM用户登录链接"登录主账号的BAE专业版资源,登录成功后用户根据设定的权限享有对主账户资源的操作和查看权限。

      说明:登录主账号BAE专业版的资源后,如果通过SVN/Git提交代码,需要使用IAM系统登录后子用户账号右上角“安全认证”下获取的AK/SK。子账号通过百度云系统登录获取的AK/SK无效。