多用户访问控制
更新时间:2024-08-28
多用户访问控制
一、多用户访问控制描述
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
二、EDAP权限策略说明
EDAP支持系统策略和用户自定义策略两种。
- 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
- 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。
系统策略
EDAP系统策略包含EDAPFullControl、EDAPDataManage两种。子用户注册后拥有默认用户权限,可以通过IAM为其授予EDAPFullControl策略,使其拥有完全控制EDAP的权限,或为其授予EDAPDataManage策略,使其拥有EDAP数据管理员权限。具体的权限范围如下:
策略名称 | 权限说明 | 权限范围 |
---|---|---|
EDAPFullControl | EDAP系统管理员权限 |
|
EDAPDataManage | EDAP数据管理员权限 |
|
无 | 默认用户权限 |
|
自定义策略
主用户可以通过点击“策略管理—>创建策略”添加自定义策略来进行实例级权限控制,自定义策略的添加有"按策略生成器创建"、"按标签创建"和"按策略语法创建"三种方式,目前EDAP仅支持“按策略语法创建”。
- 点击创建策略,选择创建策略的方式“按策略语法创建”。
- 输入自定义的策略名称和策略内容,策略内容需要您编辑 ACL 语句,详细的语法可参考文档策略语法( https://cloud.baidu.com/doc/IAM/s/8jwvyc3ai )。
三、授权流程说明
创建子用户
- 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理->子用户”,在子用户列表页,点击“创建子用户”。
- 在弹出的“创建子用户”对话框中,填写“用户名”和其他配置信息,点击确认后,即可在“子用户管理列表”中查看到创建的子用户。
子用户授权
当您创建完子用户后,即可以为该子用户授予策略。授予后,子用户在访问主用户资源时,将按照策略中已配置的权限范围进行访问。
- 在“用户管理->子用户”列表页中选择希望授权的子用户,点击“操作”栏中的“编辑权限”。
- 在授权页面中,选择希望授予该子用户的权限策略(您可以在搜索框中搜索EDAP相关的策略名称),勾选后点击确认完成授权。