文件存储CFS

    多用户访问控制

    基本概念

    文件存储CFS已经接入了百度智能云IAM平台,用户可以在IAM平台创建子用户,对云上业务进行细粒度管理和使用。

    百度智能云IAM子用户有如下特点:

    1. 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源,但计费主体依然是主用户。
    2. 子用户可以独立使用管理控制台和API。
    3. 主用户可以对子用户进行授权,在IAM里授权是通过给子用户关联策略来完成的,一个子账号可以关联多个策略。

    IAM子用户应用场景

    用户可以在百度智能云上通过主子用户体系,灵活使用CFS资源。

    • 企业子用户管理与分权

      企业A使用百度智能云账号购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...),A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的密钥直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。

    • 企业之间的资源操作与授权管理

      A和B代表不同的企业。A购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工,即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。

    策略说明

    CFS在云上提供了系统策略和自定义策略两种策略模式。

    系统策略,主用户对子用户授予后,子用户可对主用户名下所有CFS资源进行相应的操作能力,共有如下三种系统策略:

    • CFSFullControlAccessPolicy:管理百度智能云文件存储服务(CFS)的权限
    • CFSOperateAccessPolicy:运维百度智能云文件存储服务(CFS)的权限
    • CFSReadOnlyAccessPolicy:只读百度智能云文件象存储服务(CFS)的权限

    三种系统策略对应的权限,与CFS的API对应关系如下:

    系统策略 可操作API
    管理 CFS所有API
    运维 Updatefilesystem
    Describefilesystem
    Creatmounttarget
    Deletemounttarget
    Describemounttarget
    只读 Describefilesystem
    Describemounttarget

    自定义策略,主用户可以按Region、按细粒度资源为子用户授权。可授予以下两种权限类型:

    自定义策略 可操作API
    运维 Updatefilesystem
    Describefilesystem
    Creatmounttarget
    Deletemounttarget
    Describemounttarget
    只读 Describefilesystem
    Describemounttarget

    操作步骤

    1. 策略创建

      进入“管理控制台”,选择“多用户访问控制”

      image.png

      选择“策略管理”,搜索CFS,可以看到CFS相关系统策略。

      当预期使用自定义策略时,进入策略管理页面,选择“创建策略”。

      image.png

      在自定义策略创建页面,为该自定义策略命名之后,需要筛选“服务类型”为CFS,并为预期授权的实例选择对应的权限。

      在资源选择方面,主用户可在列表中查看目前已创建的CFS实例,并选择预期授权的实例。

      之后,在自定义策略列表中,即可看到新创建的自定义策略了。

      注意:在使用CFS产品时,如果需要为CFS实例添加/修改挂载点时,会需要用户从名下已有的VPC、子网的列表中进行筛选,作为挂载点的挂载信息。因此,当主用户为子用户授予具有管理、运维权限的系统策略或自定义策略时,也需同时在百度智能云IAM平台为该子用户授予对VPC、子网产品具有只读或更高权限的策略。

    2. 为子用户授权

      当策略创建完成后,即可为子用户授予策略。

      在“用户管理”页签为子用户添加权限。

      image.png

      选择“系统策略”或“自定义策略”,获取相应策略列表,选择希望授予子用户的权限,点击“确定”即可将权限赋予子用户。

      image.png

      删除子用户授权:点击用户名,进入“子用户详情页面”,“权限信息”处可以看到此用户拥有的权限,点击“删除”可以将此权限从用户权限中去掉

      image.png

    上一篇
    删除文件系统
    下一篇
    权限组管理