多用户访问控制

一、多用户访问控制描述

多用户访问控制(Identity and Access Management, IAM)，主要用于百度智能云的身份管理和访问控制，解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色，你可以对不同员工赋予产品的不同权限，以共享你账户内的资源，完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时，推荐你使用多用户访问控制。

以下是多用户访问控制适用的典型场景：

• 中大型企业客户：对公司内多个部门的不同员工进行集中资源和权限管理；
• 独立软件服务商(ISV)或SaaS平台商：对代理客户进行集中的资源和权限管理；
• 中小开发者或小企业：添加项目成员或协作者，进行资源和权限管理。

二、EDAP权限策略说明

EDAP支持系统策略和用户自定义策略两种。

• 系统策略：百度智能云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。
• 自定义策略：由用户自己创建，更细化的管理资源的权限集，可以针对单个实例配置权限，更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

EDAP系统策略包含EDAPFullControl、EDAPDataManage两种。子用户注册后拥有默认用户权限，可以通过IAM为其授予EDAPFullControl策略，使其拥有完全控制EDAP的权限，或为其授予EDAPDataManage策略，使其拥有EDAP数据管理员权限。具体的权限范围如下：

自定义策略

主用户可以通过点击“策略管理—>创建策略”添加自定义策略来进行实例级权限控制，自定义策略的添加有"按策略生成器创建"、"按标签创建"和"按策略语法创建"三种方式，目前EDAP仅支持“按策略语法创建”。

1. 点击创建策略，选择创建策略的方式“按策略语法创建”。

2. 输入自定义的策略名称和策略内容，策略内容需要您编辑 ACL 语句，详细的语法可参考文档策略语法（ https://cloud.baidu.com/doc/IAM/s/8jwvyc3ai ）。

三、授权流程说明

创建子用户

1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

2. 在左侧导航栏点击“用户管理->子用户”，在子用户列表页，点击“创建子用户”。

3. 在弹出的“创建子用户”对话框中，填写“用户名”和其他配置信息，点击确认后，即可在“子用户管理列表”中查看到创建的子用户。

子用户授权

当您创建完子用户后，即可以为该子用户授予策略。授予后，子用户在访问主用户资源时，将按照策略中已配置的权限范围进行访问。

1. 在“用户管理->子用户”列表页中选择希望授权的子用户，点击“操作”栏中的“编辑权限”。

2. 在授权页面中，选择希望授予该子用户的权限策略（您可以在搜索框中搜索EDAP相关的策略名称），勾选后点击确认完成授权。