多用户访问控制

多用户访问控制功能实现了多用户协同开发,项目管理者可以创建多个IAM用户,为其IAM用户分配资源和操作权限。适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理;

  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;

  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

BCC项目管理者通过IAM子账号方式进行授权,即在主账号下添加子用户的账号并对子用户进行策略管理,子用户可以通过“IAM用户登录链接”访问主用户的资源。目前策略操作类型包括只读操作和运维操作:

操作类型权限范围
只读操作仅可以查看BCC实例,及所挂载的CDS磁盘、快照、安全组列表
运维操作
  • BCC实例:
    • 开启、停止、重启
    • 修改名称
    • 关联安全组
    • 创建快照
    • 创建自定义镜像
    • 重装操作系统
    • VNC远程
  • 在有权限BCC实例上挂载的CDS磁盘:
    • 系统盘:创建镜像,创建快照;
    • 高性能云磁盘:创建快照;
    • 普通云磁盘:创建快照。
  • 通过挂载的CDS磁盘创建的快照,可以创建自定义镜像。
  • 安全组、镜像列表仅支持只读。
  1. 主账号用户登录后在控制台左侧导航选择“多用户访问控制”进入用户中心/IAM用户页面。

  2. 在“子用户管理列表”页面点击新建用户,将需要添加为子用户的账号名填至“登录名”,显示名为子用户希望显示的昵称,说明用于标识用户类型或其它说明。 添加成功后可以在列表中看到显示名和登录名,子用户可以通过主账号提供的IAM用户链接进行登录。

    说明:通过用户信息中添加的协作者用户会同步到“多用户访问控制”的用户列表中。

  3. 子用户添加完成后需要对子用户进行策略管理,点击“策略管理”进入权限策略列表页面设定子用户的操作及查看权限。

    策略包含系统策略和用户自定义策略两种。其中系统策略主要是百度智能云系统为了管理资源预定义的策略,如用于服务运行离线任务时使用,BCC用户无需关注。BCC用户需要根据操作类型和资源自定义策略。

  4. 选择“自定义策略”并点击“创建策略”。服务类型,选择“云服务器 BCC”。只读操作仅可以查看,如需为IAM用户分配BCC、CDS、EIP功能权限,请选择运维操作。

    说明: 添加或修改策略生效时间需要5分钟左右。

  5. 在用户管理>子用户管理列表页的对应子用户的“操作”列选择“添加权限”,并选择用户自定义策略进行授权。

    • 如果用户在“添加权限”时被赋予了“系统管理员”权限后会等同于协作者,即协作者就是拥有“系统管理员”权限的子用户。
    • 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
  6. 子用户的账户和权限添加完成后,子用户可以直接通过子用户管理列表的"IAM用户登录链接"登录主账号的云服务器 BCC,登录成功后用户根据设定的权限享有对主账户资源的操作和查看权限。