权限策略说明
更新时间:2024-09-25
多用户访问控制产品介绍
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。 以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
当前 CHPC 产品支持 “产品级所有资源” 的 “系统权限” 管理和 “细粒度特定资源” 的 “自定义权限” 管理。
系统权限
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| CHPCReadAccessPolicy | 只读访问云高性能计算平台(CHPC)的权限 | 仅可以查看集群列表,及拥有的队列列表、节点列表、作业与监控报表、应用列表、作业列表 |
| CHPCOperateAccessPolicy | 运维操作云高性能计算平台(CHPC)的权限 | 队列管理: - 新增/创建队列 - 删除队列 - 扩容节点 - 配置扩缩容 节点管理: - 停止调度 - 移出队列 - 移动队列 作业与监控: - 提交作业 - 调整作业优先级 - 获取作业可配置字段 应用管理: - 创建空间等变更操作 |
| CHPCFullControlAccessPolicy | 完全控制管理高性能计算平台(CHPC)的权限 | 拥有除运维权限外,所有集群的创建、释放 |
自定义权限
⚠️ 仅对特定资源有权限的子用户无法创建新的集群和队列
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| CLUSTER_READONLY(默认) QUEUE_READONLY(默认) SERVICE_READONLY(默认) |
集群资源只读 队列资源只读 应用服务资源只读 |
仅可以查看集群列表,及拥有的队列列表、节点列表、作业与监控报表、应用列表 |
| CLUSTER_MODIFY | 集群资源可操作 | 集群管理: - 创建集群(不支持对特定资源拥有权限的子用户操作) - 释放集群 |
| QUEUE_MODIFY | 队列资源可操作 | 队列管理: - 新增/创建队列(不支持对特定资源拥有权限的子用户操作队列管理) - 删除队列 - 扩容节点 - 配置扩缩容 节点管理: - 停止调度 - 移出队列 - 移动队列 |
| SERVICE_MODIFY | 应用服务资源可操作 | 应用管理: - 创建空间等变更操作 |
| JOB_SPEC | 特定作业资源可读可操作 | 作业管理: - 仅对当前用户的作业有可读可操作权限 |
| JOB_ALL | 所有作业资源可读可操作 | 作业管理: - 对所有用户的作业都有可读可操作权限 |
创建自定义权限
-
主账户登录后点击右上方下三角,点击“多用户访问控制”后,点击左侧菜单栏中的“策略管理”,然后点击“+创建策略”,选择“按策略生成器创建”。
- 给自定义权限命名后,点击“添加权限”,服务选择“云高性能计算平台CHPC”,权限效力选择“允许”。
- 根据“自定义权限”说明章节内容,在这里自定义配置对“所有资源”或不同地域下的“特定资源”的“只读”或“可修改”权限(这里默认携带“集群只读”和“队列只读”权限,以及仅支持对“所有资源”生效的“应用只读”和“专属作业读写”权限),配置完成后点击“确认”后返回上一页面,再次点击“确认”后保存。
新建子用户或为已有子用户赋权
- 您可以在左侧菜单栏的“用户管理”->“子用户”页面创建一个新的子用户。
- 也可以直接为已有子用户赋予刚刚创建出来的自定义权限。点击“编辑权限”,搜索并添加权限给子用户,点击”确定“保存。
