多用户访问控制
介绍
多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。 适用于下列使用场景:
- 中大型企业客户:对公司内多个员工授权管理
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理
创建用户
1.主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建子用户”(如子用户已存在则跳过新建子用户这一步)。填写创建子用户的表单
- 在弹出的“新建子用户”或编辑已有子用户权限对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
SSL证书支持系统策略和用户自定义策略两种,分别实现对SSL证书的产品级权限和实例级权限控制。
- 系统策略:SSL证书服务为管理资源而预定义的权限集,这类策略可直接为子用户授权,主账户或子用户账户管理员只能使用而不能修改。
- 自定义策略:由用户自己创建,更细化地管理资源的权限集,可以针对单个实例配置权限,更加灵活地满足账户对不同用户的差异化权限管理。
系统策略
系统策略包含管理权限、运维权限和只读权限3种策略,权限范围详细如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| CASFullControlPolicy | 完全控制管理SSL证书的权限 | 拥有购买SSL证书、删除SSL证书的权限以及CASOperateAccessPolicy的所有权限 |
| CASOperateAccessPolicy | 运维操作SSL证书的权限 | 拥有申请SSL证书、取消SSL证书申请以及CASReadOnlyAccessPolicy的所有权限 |
| CASReadOnlyAccessPolicy | 只读访问SSL证书的权限 | 拥有查看SSL证书列表、查看SSL证书详情、查看SSL证书申请、下载SSL证书的权限 |
自定义策略
自定义策略是从实例维度进行授权,与系统策略不同,只对选定的实例生效。
用户先通过左侧导航栏进入【策略管理】,然后点击“创建策略”,用户填写策略名称并选择服务类型为【SSL证书】,其中策略生成方式默认为策略生成器,不需要修改。
点击【按策略生成器创建】
填写好策略名称后,服务选择SSL证书,效果选择允许,操作可以选择运维SSL证书、管理SSL证书,分别对应上表中的CASOperateAccessPolicy、CASFullControlPolicy对应的权限,同时支持选择所有资源或特定资源,支持使用证书ID进行筛选,选择好以后点击确定,自定义策略即创建成功
自定义权限范围详细如下:
| 权限名称 | 权限范围 |
|---|---|
| 管理权限 | 拥有购买SSL证书、删除SSL证书的权限以及运维权限的所有权限 |
| 运维权限 | 拥有申请SSL证书、取消SSL证书申请以及只读权限的所有权限 |
| 只读权限 | 拥有查看SSL证书列表、查看SSL证书详情、查看SSL证书申请、下载SSL证书的权限 |
用户授权
在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。
证书如给子用户赋予自定义策略权限,请务必同时给用户勾选系统策略中的CASReadOnlyAccessPolicy,给子用户授权读取所有SSL证书的权限。
子用户登录
主账号完成对子用户的授权后,可以将子用户登陆链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户的SSL证书资源进行操作和查看。
其他详细操作参考:多用户访问控制。