多用户访问控制

更新时间：2022-12-12

介绍

多用户访问控制，主要用于帮助用户管理云账户下资源的访问权限，适用于企业内的不同角色，可以对不同的工作人员赋予使用产品的不同权限，当您的企业存在多用户协同操作资源时，推荐您使用多用户访问控制。适用于下列使用场景：

中大型企业客户：对公司内多个员工授权管理；
偏技术型vendor或SAAS的平台商：对代理客户进行资源和权限管理；
中小开发者或小企业：添加项目成员或协作者，进行资源管理。

创建用户

1.主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

2.在左侧导航栏点击“用户管理”，在“子用户管理列表”页，点击“新建用户”。
3.在弹出的“新建用户”对话框中，完成填写“用户名”和确认，返回“子用户管理列表”区可以查看到刚刚创建的子用户。

权限策略配置

权限策略有两种类型：系统权限策略和自定义权限策略，分别实现BMS的产品级和资源级权限控制。

系统策略：百度智能云系统为管理资源而预定义的权限集，这类策略可直接为子用户授权，用户只能使用而不能修改。
自定义策略：由用户自己创建，更细化的管理资源的权限集，可以针对资源配置权限，更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

系统策略是被用户经常使用的权限集合，已预先配置好不可被用户编辑。专享版Kafka提供了管理权限、运维权限和只读权限3种系统策略，权限范围详细如下：

策略名称	描述	包含权限
KAFKAFullControlPolicy	完全控制管理专享版百度消息服务(KAFKA)权限	支持专享版百度消息服务(KAFKA)的全部权限，包括创建删除集群，运维权限和读权限
KAFKAOperateAccessPolicy	运维操作专享版百度消息服务(KAFKA)权限	支持专享版百度消息服务(KAFKA)变更集群、创建删除主题、主题重分区、创建删除访问控制列表、删除消费组、创建删除用户、读权限等
KAFKAReadOnlyAccessPolicy	只读专享版百度消息服务(KAFKA)权限	支持专享版百度消息服务(KAFKA)查看集群列表、查看集群详情、查看主题列表、查看主题详情、查看主题分区、查看消费组列表等

自定义策略

自定义策略允许用户根据自己的需求灵活配置自己的权限策略，对选定的资源生效。专享版Kafka提供了Cluster、Topic、ConsumerGroup、User4种资源级自定义策略，权限范围详细如下：

权限名称	权限范围
KAFKAClusterWritePolicy	支持专享版百度消息服务(KAFKA)新增节点、扩容磁盘、变配节点、重启节点、创建主题、重新分区、修改配置等
KAFKATopicWritePolicy	支持专享版百度消息服务(KAFKA)变更主题，包括修改分区数、修改主题配置
KAFKAConsumerGroupWritePolicy	支持专享版百度消息服务(KAFKA)变更消费组的offset
KAFKAUserWritePolicy	支持专享版百度消息服务(KAFKA)变更用户

自定义策略生成方式有2种：策略生成器和编辑策略文件。
使用策略生成器配置权限
策略生成器，适合于需要控制资源访问的场景。使用策略生成器定义的策略，可以控制到某个具体要访问的资源，比如：Cluster的更改操作权限
操作步骤：
1.子用户进入“多用户访问控制”，通过左侧导航栏进入“策略管理”，点击“创建策略”，选择创建策略方式“按策略生成器创建”;

2.用户填写“策略名称”，并点击“添加权限”按钮，“选择服务”设置为“百度消息服务 KAFKA”，“配置方式”选择“策略生成器”，按照需求配置资源级权限，点击确定；

3.从策略管理的“自定义策略”列表中可以看到刚刚定义的策略。
使用编辑策略文件配置权限
ACL策略配置文件，可以理解为配置权限策略规则的json字符串，无论是系统策略还是用户自定义策略，最终都会映射成为一个ACL的json串；使用ACL策略配置文件，用户可以非常灵活的定义权限策略，Kafka提供了一个公用的ACL配置字符串模板，用户可以参照模板配置自己的策略，编辑ACL权限策略的语法可参考文档策略语法。
操作步骤：
1.子用户进入“多用户访问控制”，通过左侧导航栏进入“策略管理”，点击“创建策略”，选择创建策略方式“按策略生成器创建”;
2.用户填写“策略名称”，并点击“添加权限”按钮，“选择服务”设置为“百度消息服务 KAFKA”，“配置方式”选择“编辑策略文件”，策略模板选择“kafka_acl”，按照需求配置ACL字符串，点击确定；

3.从策略管理的“自定义策略”列表中可以看到刚刚定义的策略。