子用户权限管理
更新时间:2024-05-15
成功创建子用户后,在子用户需要访问数据传输服务 DTS 时,您需要授予子用户访问 DTS 的权限。本文介绍如何授权子用户访问数据传输服务 DTS 的操作步骤。
前提条件
基本概念
- IAM:多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。
- 账户:百度智能云上的最小资源隔离和计费主体,是客户云上资源的集合和拥有者。客户在智能云控制台上注册时自动生成,未来用于云资源管理、出账单等的独立空间。
- 主用户:客户云账户创建时,由系统自动创建的超级管理员用户。
- 子用户:IAM 身份体系下一种用户,用于共享或协作主用户的云上资源。用户名在账户下唯一。子用户可以是人、也可以是服务或应用程序,即子用户可以通过账号密码的方式登录控制台,也可以使用 API 通过编程访问的方式访问账户内云资源。
策略说明
数据传输服务 DTS 支持系统策略和用户自定义策略两种,分别实现产品级权限和任务级权限控制。
系统策略
系统策略为数据传输服务 DTS 产品级权限,有产品级管理权限、产品级运维权限和产品级只读权限三种系统策略。权限范围的详细解释如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| DTSFullControlPolicy | 数据传输服务 DTS 的管理权限 | 创建任务、释放任务、修改任务、查询任务列表、查询任务、启动任务、暂停任务、结束任务 |
| DTSOperateAccessPolicy | 数据传输服务 DTS 的运维权限 | 修改任务、查询任务列表、查询任务、启动任务、暂停任务、结束任务 |
| DTSReadOnlyAccessPolicy | 数据传输服务 DTS 的只读权限 | 查询任务列表、查询任务 |
自定义策略
主用户可以通过点击 策略管理 —> 创建策略 添加自定义策略来进行任务级权限控制。自定义策略的添加有 按策略生成器创建 和 按策略语法创建 两种方式,用户可以根据具体的权限设置修改策略内容,详情参见 创建自定义策略。
自定义权限范围,详情如下:
| 权限说明 | 权限范围 |
|---|---|
| 管理权限 | 释放任务、修改任务、查询任务列表、查询任务、启动任务、暂停任务、结束任务 |
| 运维权限 | 修改任务、查询任务列表、查询任务、启动任务、暂停任务、结束任务 |
| 只读权限 | 查询任务列表、查询任务 |
操作步骤
子用户授权
- 使用主账号登录 多用户访问控制 控制台。
- 在左侧导航栏,单击 用户管理 —> 子用户。
- 在子用户管理页面,选择目标子用户。
- 在 IAM 用户详情页面,单击权限信息模块中的 授权。
- 进入编辑权限弹窗,可以为子用户选择全部策略、系统策略或自定义策略进行授权,在搜索框中输入 DTS,展示 DTS 相关的系统权限策略。
-
根据业务需求勾选目标权限策略名称,将其添加到已选择的策略区域框中。关于策略的详细说明,请参见 策略说明。
说明
如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
- 主账号完成对子用户的授权后,可以将链接发送给子用户。
- 子用户可以通过子用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
相关文档
其他操作请参考 多用户访问控制。