多用户访问控制

更新时间：2023-08-16

多用户访问控制

一、多用户访问控制描述

多用户访问控制(Identity and Access Management, IAM)，主要用于百度智能云的身份管理和访问控制，解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色，你可以对不同员工赋予产品的不同权限，以共享你账户内的资源，完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时，推荐你使用多用户访问控制。

以下是多用户访问控制适用的典型场景：

中大型企业客户：对公司内多个部门的不同员工进行集中资源和权限管理；
独立软件服务商(ISV)或SaaS平台商：对代理客户进行集中的资源和权限管理；
中小开发者或小企业：添加项目成员或协作者，进行资源和权限管理。

二、EDAP权限策略说明

EDAP支持系统策略和用户自定义策略两种。

系统策略：百度智能云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。
自定义策略：由用户自己创建，更细化的管理资源的权限集，可以针对单个实例配置权限，更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

EDAP系统策略包含EDAPFullControl、EDAPDataManage两种。子用户注册后拥有默认用户权限，可以通过IAM为其授予EDAPFullControl策略，使其拥有完全控制EDAP的权限，或为其授予EDAPDataManage策略，使其拥有EDAP数据管理员权限。具体的权限范围如下：

策略名称	权限说明	权限范围
EDAPFullControl	完全控制EDAP的权限	数据源：创建数据源链接，查看、编辑、删除所有数据源链接，查询所有数据源链接，源链接授权数据湖存储：创建数据湖存储，查看、编辑、删除所有数据湖存储，数据湖存储授权元数据：创建元数据库表，查看、编辑、删除所有元数据，元数据授权数据湖分析：创建分析任务，查看、编辑、删除所有分析任务数据标准：查看数据标准，创建和管理数据标准，审核数据标准数据质量：创建质量规则，针对所有表创建质量任务，查看质量报告等所有权限数据血缘：查询所有数据血缘数据标签：创建数据标签，查看、编辑、删除所有数据标签项目：查看所有项目，创建项目，编辑、删除所有项目数据服务：创建数据服务，查看、编辑、删除所有数据服务计算资源：创建计算资源，查看、编辑、删除所有计算资源系统监控：查看系统监控
EDAPDataManage	EDAP数据管理员权限	数据源：新建数据源链接，查看、编辑、删除所有数据源链接，查询所有数据源链接，源链接授权数据湖存储：新建数据湖存储，查看、编辑、删除所有数据湖存储，数据湖存储授权元数据：创建元数据库表，查看、编辑、删除所有元数据，元数据授权数据湖分析：创建分析任务，查看、编辑、删除所有分析任务数据标准：查看数据标准，创建和管理数据标准数据质量：创建质量规则，针对所有表创建质量任务，查看质量报告等所有权限数据血缘：查询所有数据血缘数据标签：查看数据标签，创建数据标签，编辑、删除数据标签项目：查看有权限的项目数据服务：创建数据服务，查看、编辑、删除所有数据服务计算资源：查看、使用有权限的计算资源
无	默认用户权限	数据源：查看、编辑、删除有权限的数据源链接，查询有权限的数据源链接，申请数据源链接权限数据湖存储：查看、编辑、删除有权限的数据湖存储，申请数据湖存储权限元数据：查看所有元数据列表，新建、查看、编辑、删除有权限的元数据，申请元数据权限数据湖分析：创建分析任务，查看、编辑、删除自己的分析任务数据标准：查看数据标准数据质量：创建质量规则，针对有权限的表创建质量任务，查看质量报告等所有权限数据血缘：查询数据血缘数据标签：查看数据标签项目：查看有权限的项目数据服务：创建数据服务，查看、编辑、删除所有数据服务计算资源：查看、使用有权限的计算资源