多用户访问控制
更新时间:2021-09-08
多用户访问控制产品介绍
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
关于多用户访问控制的详细信息可以查看IAM帮助文档。
定义
- 权限:是指一个接口、或几个接口是否被允许访问,如:查看任务详情、编辑任务等;
- 资源:是指用户在服务中创建和维护的实体,并被用户访问的最小实体,在BLS服务中,任务、收集器和收集器组等属于资源;
- 策略:是权限、资源以及用户身份的组合,如只读策略或自定义策略;
配置策略
- 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改;
- 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理
系统策略权限说明
BLS的系统策略包含只读权限、运维权限和管理权限。具体说明如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| BLSReadPolicy | 只读访问BLS的权限 | 仅可以查看任务详情、查看收集器详情、查看收集器组详情、查看收集器安装、获取日志集详情、读取日志记录、获取索引详情、获取快速查询详情、查看投递任务配置详情、查看投递任务执行记录; |
| BLSOperatePolicy | 运维操作BLS的权限 | 除包含只读权限外,还可以编辑任务、启动/停止任务、编辑收集器、编辑收集器组、修改日志集、写入日志记录、修改索引、修改快速查询、修改投递任务、启停单个投递任务、批量启停投递任务; |
| BLSFullControlPolicy | 完全控制管理BLS的权限 | 拥有BLS全部权限; |
自定义策略权限说明
BLS的自定义策略的权限操作类型以及权限的范围,具体说明如下:
| 操作类型 | 权限范围 |
|---|---|
| 只读操作 |
|
| 运维操作 |
|
| 管理操作 |
|
云产品接入权限
日志服务支持采集内容分发网络CDN、私有网络VPC、容器实例BCI等多种百度智能云云产品的日志数据。当您使用子账号在各云产品的控制台开通日志推送服务过程中,请确保您具有BLS的相关权限。例如,当您需要写入/推送数据到已有的日志集中,请确保当前账号拥有“写入日志记录”的权限,如果需要创建新的日志集logstore,请确保当前账号拥有“BLSFullControlPolicy”权限。
授权案例
授权步骤如下:
- 创建子用户
- 创建自定义策略
- 为子用户授权
- 控制台登录子用户,访问产品
创建子用户
第一步:点击右上角用户头像,点击『多用户访问控制』;
第二步:点击『创建子用户』,子用户创建好后,登录链接如图所示;
详情可以查看多用户访问控制帮助文档.
创建自定义策略
第一步:点击左侧『策略管理』,点击『创建策略』,点击『按策略生成器创建』;
第二步:点击『添加权限』;
第三步:选择『百度日志服务BLS』,勾选权限,勾选资源,点击『完成』;
第四步:再次点击『完成』;
为子用户授权
第一步:点击『添加权限』;
第二步:搜索『bls』,此处可添加『系统策略』和『自定义策略』,点击『确定』;
控制台登录子用户&访问产品
第一步:访问子用户登录链接;
第二步:点击BLS&访问产品;
