专属服务器DCC

    多用户访问控制

    介绍

    多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

    适用于下列使用场景:

    • 中大型企业客户:对公司内多个员工授权管理;
    • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
    • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

    创建用户

    1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

    2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
    3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

    配置策略

    DCC支持系统策略和用户自定义策略两种,分别实现DCC的产品级权限和实例级权限控制。

    • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
    • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

    系统策略

    系统策略包含管理权限、运维权限和只读权限3种策略,权限范围详细如下:

    策略名称 权限说明 权限范围
    DCCFullControlPolicy 完全控制管理DCC的权限 管理权限包括创建、删除、管理、启停产品的操作,同时所有产品管理API需统一财务关系。
    DccOperateAccessPolicy 运维操作专属服务器(DCC)的权限 运维权限包括创建、删除、管理、启停产品的操作。
    DccReadAccessPolicy 只读操作专属服务器(DCC)的权限 只读权限主要涵盖资源的列举、详情、状态展示。

    自定义策略

    自定义策略是从实例维度进行授权,与系统策略不同,只对选定的实例生效。

    子用户先通过左侧导航栏进入【策略管理】,然后点击“创建策略”,用户填写策略名称并选择服务类型为专属服务器DCC,其中策略生成方式默认为策略生成器,不需要修改。

    自定义权限范围详细如下:

    DCC专属服务器的权限说明:

    操作类型 权限范围
    只读操作 查看和下载DCC专属服务器列表及标签
    运维操作 DCC专属服务器:
  • 修改名称
  • 编辑标签
  • 清空资源
  • vCPU设置
  • 创建专属实例
  • 实例的权限说明:

    操作类型权限范围
    只读操作仅可以查看DCC实例,及所挂载的CDS磁盘、快照、安全组列表
    运维操作
    • DCC实例:
      • 开启、停止、重启
      • 修改名称
      • 关联安全组
      • 创建快照
      • 创建自定义镜像
      • 重装操作系统
      • VNC远程
    • 在有权限DCC实例上挂载的CDS磁盘:
      • 系统盘:创建镜像,创建快照;
      • 高性能云磁盘:创建快照;
      • 普通云磁盘:创建快照。
    • 通过挂载的CDS磁盘创建的快照,可以创建自定义镜像。
    • 安全组、镜像列表仅支持只读。
    • 创建、释放、调整配置做成专属服务器的运维权限,从bcc抽离出来。 财务权限只针对DCC宿主机。
    操作类型 权限范围
    只读操作 仅可以查看DCC实例,及所挂载的CDS磁盘、快照、安全组列表
    运维操作 DCC实例:
    开启、停止、重启;
    修改名称;
    关联安全组;
    创建快照
    创建自定义镜像;
    重装操作系统;
    VNC远程。
    运维操作 在有权限DCC实例上挂载的CDS磁盘:
    系统盘,创建镜像和创建快照;
    高性能云磁盘,创建快照;
    普通云磁盘,创建快照。
    运维操作 通过挂载的CDS磁盘创建的快照,可以创建自定义镜像。
    运维操作 安全组、镜像列表仅支持只读。
    运维操作 创建、释放、调整配置做成专属服务器的运维权限,从bcc抽离出来。财务权限只针对DCC宿主机。

    用户授权

    在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

    说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

    子用户登录

    主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

    其他详细操作参考:多用户访问控制

    上一篇
    回收站
    下一篇
    产品定价