多用户访问控制
所有文档
menu

百度数据湖管理与分析平台 EDAP

多用户访问控制

多用户访问控制

一、多用户访问控制描述

多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。

以下是多用户访问控制适用的典型场景:

  • 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
  • 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
  • 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。

二、EDAP权限策略说明

EDAP支持系统策略和用户自定义策略两种。

  • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
  • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

EDAP系统策略包含EDAPFullControl、EDAPDataManage两种。子用户注册后拥有默认用户权限,可以通过IAM为其授予EDAPFullControl策略,使其拥有完全控制EDAP的权限,或为其授予EDAPDataManage策略,使其拥有EDAP数据管理员权限。具体的权限范围如下:

多用户访问控制
策略名称
权限说明
权限范围
EDAPFullControl
EDAP系统管理员权限
  • 首页:查看版本信息,进行升级、续费操作,查看配额信息,查看常用项目列表、项目详情,查看典型场景,一键导入最佳实践
  • 我的项目:查看所有项目列表、项目详情、新建项目,删除作为项目管理员的项目
  • 数据湖:
    • 元数据:查看、编辑、删除所有元数据;查看、创建和管理元数据发现任务
    • 数据湖:查看数据湖存储列表;新建数据湖存储、编辑数据湖存储、删除数据湖存储
  • 数据架构:
    • 主题设计:查看主题、主题域列表,创建和管理主题、主题域
    • 标准设计:查看数据标准,创建和管理数据标准
    • 查看数据指标,创建和管理数据指标
    • 查看数仓规划、查看数据模型列表、编辑数仓规划;创建和管理数据模型
  • 数据治理:
    • 数据地图:搜索数据、创建和管理元数据采集任务,查看、创建和管理数据标签
    • 数据质量:查看质量总览,创建和管理质量规则、规则模版、质量作业,查看和修改规则配置
    • 数据血缘:查看、创建和管理数据血缘
    • 数据安全:查看、新建、编辑、删除脱敏规则;查看、编辑密级信息;查看、新建、编辑、删除脱敏任务
  • 数据服务:查看、新建业务流程,新建、编辑、删除、发布数据服务
  • 管理中心:
    • 资源管理:查看、新建、编辑、删除计算资源,查看、新建、编辑、删除数据源链接,查看文件目录、创建目录、创建函数,上传文件、新建文件夹,查看资源监控
    • 权限管理:元数据权限授予、存储路径权限授予、数据源权限授予、查看授予记录
    • 审批中心:查看标准列表、审批标准,查看模型列表、审批模型,查看指标列表、审批指标,进行权限审批,查看记录列表、查看审批记录
EDAPDataManage
EDAP数据管理员权限
  • 首页:查看版本信息,查看配额信息,查看常用项目列表、项目详情,查看典型场景、最佳实践
  • 我的项目:查看所有项目列表、项目详情、新建项目,删除作为项目管理员的项目
  • 数据湖:
    • 元数据:查看、编辑、删除所有元数据;
    • 数据湖:查看数据湖存储列表;新建数据湖存储、编辑数据湖存储、删除数据湖存储
  • 数据架构:
    • 主题设计:查看主题、主题域列表,创建和管理主题、主题域
    • 标准设计:查看数据标准,创建和管理数据标准
    • 查看数据指标,创建和管理数据指标
    • 查看数仓规划、查看数据模型列表、编辑数仓规划;创建和管理数据模型
  • 数据治理:
    • 数据地图:搜索数据,查看、创建和管理数据标签
    • 数据质量:查看质量总览,创建和管理质量规则、规则模版、质量作业,查看和修改规则配置
    • 数据血缘:查看、创建和管理数据血缘
    • 数据安全:查看、新建、编辑、删除脱敏规则;查看、编辑密级信息;查看、新建、编辑、删除脱敏任务
  • 数据服务:查看、新建业务流程,新建、编辑、删除、发布数据服务
  • 管理中心:
    • 资源管理:查看、新建、编辑、删除数据源链接
    • 权限管理:元数据权限授予、存储路径权限授予、数据源权限授予、查看授予记录
    • 审批中心:查看标准列表、审批标准,查看模型列表、审批模型,查看指标列表、审批指标,进行权限审批,查看记录列表、查看审批记录
默认用户权限
  • 首页:查看版本信息,查看配额信息,查看常用项目列表、项目详情,查看典型场景、最佳实践
  • 我的项目:查看有权限的项目
  • 数据湖:
    • 元数据:查看、编辑、删除所有元数据
  • 数据治理:
    • 数据地图:搜索数据
    • 数据质量:查看质量总览,创建和管理质量规则、规则模版、质量作业,查看和修改规则配置
    • 数据血缘:查看、创建和管理数据血缘
    • 数据安全:申请数据源、元数据、存储路径权限,查看申请记录
  • 数据服务:查看、新建业务流程,新建、编辑、删除、发布数据服务
  • 管理中心:
    • 资源管理:查看、编辑、删除有权限的数据源链接,查看、使用有权限的计算资源

自定义策略

主用户可以通过点击“策略管理—>创建策略”添加自定义策略来进行实例级权限控制,自定义策略的添加有"按策略生成器创建"、"按标签创建"和"按策略语法创建"三种方式,目前EDAP仅支持“按策略语法创建”。

  1. 点击创建策略,选择创建策略的方式“按策略语法创建”。

截屏2022-07-25 上午11.17.55.png

  1. 输入自定义的策略名称和策略内容,策略内容需要您编辑 ACL 语句,详细的语法可参考文档策略语法( https://cloud.baidu.com/doc/IAM/s/8jwvyc3ai )。

截屏2022-07-25 上午11.22.30.png

三、授权流程说明

创建子用户

  1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

3.png

  1. 在左侧导航栏点击“用户管理->子用户”,在子用户列表页,点击“创建子用户”。

4.png

  1. 在弹出的“创建子用户”对话框中,填写“用户名”和其他配置信息,点击确认后,即可在“子用户管理列表”中查看到创建的子用户。

子用户授权

当您创建完子用户后,即可以为该子用户授予策略。授予后,子用户在访问主用户资源时,将按照策略中已配置的权限范围进行访问。

  1. 在“用户管理->子用户”列表页中选择希望授权的子用户,点击“操作”栏中的“编辑权限”。

5.png

  1. 在授权页面中,选择希望授予该子用户的权限策略(您可以在搜索框中搜索EDAP相关的策略名称),勾选后点击确认完成授权。

6.png

上一篇
入门指南
下一篇
数据湖配置