多用户访问控制
所有文档

          云原生微服务应用平台 CNAP

          多用户访问控制

          多用户访问控制

          介绍

          多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。

          以下是多用户访问控制适用的典型场景:

          • 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
          • 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
          • 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。

          创建用户

          1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。 image.png
          2. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

          配置策略

          云原生微服务应用平台CNAP支持系统策略和用户自定义两种,分别实现CNAP的产品级权限和工作空间级权限控制。

          • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
          • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个工作空间配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

          系统策略

          系统策略包含管理权限、读写权限和只读权限3种策略,权限范围详细如下:

          策略名称 权限说明 权限范围
          CNAPFullControlPolicy 完全控制管理CNAP的权限 工作空间变更及查看、集群资源变更及查看、应用环境变更及查看、应用变更及查看、仓库变更及查看、配置变更及查看、组件变更及查看、微服务变更及查看
          CNAPWritePolicy 读写管理CNAP的权限 工作空间查看、集群资源查看、应用环境变更及查看、应用变更及查看、仓库变更及查看、配置变更及查看、组件变更及查看、微服务变更及查看
          CNAPReadPolicy 只读管理CNAP的权限 工作空间查看、集群资源查看、应用环境查看、应用查看、仓库查看、配置查看、组件查看、微服务查看

          自定义策略

          自定义策略是从工作空间维度进行授权,与系统策略不同,只对选定的工作空间生效。

          子用户先通过左侧导航栏进入【策略管理】,切换到【自定义策略】类型,然后点击“创建策略”,其中策略生成方式为策略生成器。进入策略创建页面后,点击【添加权限】,用户填写策略名称并选择服务类型为云原生微服务应用平台CNAP,选择【工作空间】和权限即可。

          image2019-8-13_14-20-33.png

          自定义权限范围详细如下:

          权限说明 权限范围 是否仅支持所有资源类型
          工作空间变更 工作空间创建、更新、删除
          工作空间只读 读取工作空间详情、读取空间应用列表、查看追踪事件
          集群变更 集群的创建、更新、删除
          集群只读 查看集群列表
          环境变更 环境的创建、更新、删除
          环境只读 查看环境列表、读取环境详情
          配置变更 配置信息的创建、更新、删除、发版
          配置只读 查看配置信息、查看配置版本、查看配置生效范围
          仓库变更 镜像仓库的创建、更新、删除
          仓库只读 查看镜像仓库列表
          应用变更 应用、部署组、访问方式、上线变更单的创建、更新和删除、使用webshell
          应用只读 查看应用、部署组、访问方式、上线单,查看容器日志
          微服务变更 查看服务列表、微服务实例列表、服务详情、服务ip信息、服务治理(路由、限流、熔断)规则
          微服务只读 服务治理规则(路由、限流、熔断创建、更新、删除;
          组件变更 组件的创建、更新、删除
          组件只读 查看组件列表

          用户授权

          在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

          说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

          子用户登录

          主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

          子用户登录

          其他详细操作参考:多用户访问控制

          上一篇
          分布式服务
          下一篇
          开发指南