多用户访问控制
更新时间:2019-07-04
多用户访问控制产品介绍
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
关于多用户访问控制的详细信息可以查看IAM帮助文档。
定义
- 权限:是指一个接口、或几个接口是否被允许访问,如:查看任务详情、编辑任务等;
- 资源:是指用户在服务中创建和维护的实体,并被用户访问的最小实体,在BLS服务中,任务、收集器和收集器组属于资源;
- 策略:是权限、资源以及用户身份的组合,如只读策略或自定义策略;
系统策略权限说明
BLS的系统策略包含只读权限、运维权限和管理权限。具体说明如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| BLSReadPolicy | 只读访问BLS的权限 | 仅可以查看任务详情、查看收集器详情、查看收集器组详情、查看收集器安装; |
| BLSOperatePolicy | 运维操作BLS的权限 | 除包含只读权限外,还可以编辑任务、启动/停止任务、编辑收集器、编辑收集器组; |
| BLSFullControlPolicy | 完全控制管理BLS的权限 | 拥有BLS全部权限; |
自定义策略权限说明
BLS的自定义策略的权限操作类型以及权限的范围,具体说明如下:
| 资源维度 | 权限名称 | 权限说明 |
|---|---|---|
| 任务 | 查看任务详情 | 无 |
| 编辑任务 | 为任务添加和删除收集器、修改任务配置信息 | |
| 启动/停止任务 | 无 | |
| 删除任务 | 无 | |
| 收集器 | 查看收集器详情 | 无 |
| 编辑收集器 | 为收集器添加和删除任务 | |
| 删除收集器 | 无 | |
| 收集器组 | 查看收集器组详情 | 无 |
| 编辑收集器组 | 为收集器组添加和删除收集器、修改收集器组描述信息 | |
| 删除收集器组 | 无 |
授权案例
授权步骤如下:
- 创建子用户
- 创建自定义策略
- 为子用户授权
- 控制台登录子用户,访问产品
创建子用户
第一步:点击右上角用户头像,点击『多用户访问控制』;
第二步:点击『创建子用户』,子用户创建好后,登录链接如图所示;
详情可以查看多用户访问控制帮助文档.
创建自定义策略
第一步:点击左侧『策略管理』,点击『创建策略』,点击『按策略生成器创建』;
第二步:点击『添加权限』;
第三步:选择『百度日志服务BLS』,勾选权限,勾选资源,点击『完成』;
第四步:再次点击『完成』;
为子用户授权
第一步:点击『添加权限』;
第二步:搜索『bls』,此处可添加『系统策略』和『自定义策略』,点击『确定』;
控制台登录子用户&访问产品
第一步:访问子用户登录链接;
第二步:点击BLS&访问产品;
