多用户访问控制
概述
多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。 适用于下列使用场景:
- 中大型企业客户:对公司内多个员工授权管理;
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理。
创建用户
- 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 点击左侧导航栏的“用户管理”,进入“子用户管理列表”页,点击“新建用户”。
- 填写弹出框“新建用户”中的用户信息,点击确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置权限策略
权限策略有两种类型:系统权限策略 和 自定义权限策略,分别实现BSC的产品级权限和资源级权限控制。
- 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
- 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个资源配置权限,更加灵活的满足账户对不同用户的差异化权限管理。
系统权限策略
系统权限策略是被用户经常使用的权限集合,不可被用户编辑。BSC默认提供了3种系统权限策略,供配置系统权限策略时选择,如下所示。
| 策略名称 | 描述 | 包含权限 |
|---|---|---|
| BSCReadPolicy | 读权限 | 作业查看权限;模版查看权限 |
| BSCWritePolicy | 写权限 | 编辑、发布、启动、停止作业;编辑模版 |
| BSCFullControlPolicy | 完全控制权限 | BSC产品的全部权限 |
自定义权限策略
自定义权限策略允许用户根据自己的需求灵活配置自己的权限策略。配置方式包含2种方式:策略生成器和编辑策略文件。
使用策略生成器配置权限
策略生成器,适合于需要控制资源访问的场景。BSC权限控制的资源包括作业和模版两种,使用策略生成器定义的策略,可以控制到某个具体要访问的资源;比如:可以设置用户允许启动哪些作业,也可以设置用户可以修改和删除哪些模版。
场景举例:配置作业的编辑权限,并授权给用户。
操作步骤:
-
创建权限策略:多用户访问控制->管理策略->创建策略;
-
填写策略名称,选择服务类型为【百度流式计算 BSC】;
策略生成方式,选择【策略生成器】;
该场景不包括配置模板相关的权限,所以此处不需要配置BSC模版的权限。直接配置BSC作业的权限。如上图,选择【编辑作业】权限 -> 选择作业所在地域 -> 选择要授权的作业;
- 点击【完成】按钮后,完成策略配置。
-
返回到【策略管理】页面,在【自定义策略】列表中可以看到刚刚定义的策略。
使用ACL策略文件配置权限
ACL策略配置文件,可以理解为配置权限策略规则的json字符串,无论是系统策略还是用户自定义策略,最终都会映射成为一个ACL的json串。使用ACL策略配置文件,用户可以非常灵活的定义权限策略,但是需要用户理解ACL字符串的含义。BSC提供了一个公用的ACL配置字符串模板,用户可以参照模板配置自己的策略。比如:配置单独的一个查看作业的权限策略;编辑ACL权限策略的语法可参考文档策略语法。
场景举例:配置作业的编辑权限,并授权给用户。
操作步骤:
- 创建权限策略:多用户访问控制->管理策略->创建策略。
-
填写策略名称,选择服务类型为【百度流式计算 BSC】,策略生成方式,选择【编辑策略文件】,策略模板选择【bsc_acl】。
-
配置ACL字符串,包含编辑作业权限,编辑作业权限使用UpdateJob字符串标识;其它权限标签可参考下文的权限模型中的权限标签。
- 点击【完成】后,可以在【自定义策略】列表中查看到新建的策略。
用户授权
进入“用户管理->子用户管理列表页”,选择对应子用户的“操作列”选择【添加权限】,并为用户选择系统权限或自定义策略进行授权。
说明:
- 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
其他详细操作参考:多用户访问控制。
BSC权限模型
BSC权限模型主要描述用户可以控制哪些操作的权限,以及控制权限的粒度。 BSC权限模型涉及2种资源的权限管理:作业权限和模版权限;对作业权限的管理,即子用户对作业具有哪些操作的权限;同理,对模版权限的管理,即子用户对模版具有哪些操作权限。具体权限如下表:
| 权限标签 | 描述 |
|---|---|
| FULL_CONTROL | BSC产品所有权限 |
| DescJob | 查看作业 |
| UpdateJob | 编辑作业 |
| DeleteJob | 删除作业 |
| CommitJob | 发布作业 |
| StartJob | 启动作业 |
| StopJob | 停止作业 |
| DescTemplate | 查看模版 |
| UpdateTemplate | 编辑模版 |
| DeleteTemplate | 删除模版 |
