主子用户鉴权
1、概述
BIE 提供主子用户权限检测和控制功能。
通过这个功能,您的主用户可以为子用户授权访问产品,如果使用主子用户的「自定义策略」,还可以进一步地将权限精细控制到实例级别。
现阶段 BIE 支持针对节点、应用、配置项、密文、节点预配批次的自定义权限控制。
2、使用流程
若您已有可用子用户,则可以跳过2.1步骤。
2.1 创建子用户
在登录百度云控制台后,点击右上角用户头像,选择用户中心可以进入用户管理页面。
再次点击右上角用户头像,选择多用户访问控制可以进入详细管理页面。
点击左侧列表选择用户管理-子用户,进入子用户管理页面可以选择创建子用户。
在当前页面可以获取子用户登录链接,复制在浏览器打开即可子用户登录。
2.2 策略管理
点击左侧列表选择策略管理,进入管理页面选择创建策略。
在创建页面填入策略名称和说明,点击下方添加权限按钮配置具体权限信息。
在选择服务一栏中选择智能边缘 BIE,剩下的根据需求选择配置。
其中权限效力为总体控制开关,如果选择拒绝,则会拒绝整个服务的访问,后续无论选择全部还是选择了部分资源的特定实例,进入BIE页面后各种资源都将无法加载。
在权限效力中选择允许后,会按照下面具体各类资源配置控制用户权限。
每一类资源提供两种权限控制:查看(READ)、管理(FULL_CONTROL),用户默认拥有所有资源的列表查看权限
- 查看(READ):对应类型资源的详情查看权限,拥有查看权限的用户可以在BIE对应资源中点击进入相应资源的详情页面查看资源信息;
- 管理(FULL_CONTROL):对应类型资源的管理权限,拥有特定资源的管理权限的用户可以对相应的资源进行查看、更新、删除操作;拥有一类资源所有实例管理权限的用户可以对所有实例进行查看、更新、删除,并且可以创建这类资源实例;
示例
下面对节点资源和应用资源进行设置做示例说明。
如图所示,这里选择赋予应用类资源的所有实例的管理权限,节点类资源资源名为888、999的特定资源的查看权限。
类似的设置其他类型资源权限,设置完成后点击最下方确认按钮完成创建。
创建后您可以在列表中看到对应的策略。
2.3 编辑权限
点击左侧列表选择用户管理-子用户,进入子用户管理页面,选则需要编辑权限的子用户,在最右侧操作栏选择编辑权限,进入授权页面。
选择并授予对应权限。
2.4 子用户登录
复制用户管理-子用户中的子用户登录链接在浏览器打开,输入对应用户名密码登录。
登录后进入 BIE 页面,如图所示。
2.5 权限测试
2.5.1 节点权限测试
根据 2.2 示例中的授权,这里拥有999和888的查看权限,点击888进入节点详情页,可以看到能正常查看。
点击没有权限的 080301 尝试进入节点详情页,可以看到被系统拒绝。
点击创建节点,被系统拒绝。
删除任意节点,被系统拒绝。
2.5.2 应用权限测试
根据 2.2 示例中的授权,这里拥有所有应用的查看和管理权限,点击 zx-ubuntu 进入应用详情页,可以看到能正常查看。
点击创建应用,填写信息后可以正常创建。
点击特定应用删除按钮,可以正常删除应用。
导出应用 zx-ubuntu 数据,因为有详情查看权限,所以可以成功导出。
导入应用,因为有应用类所有资源完整管理权限,所以可以导入成功。