多用户访问控制
更新时间:2020-08-20
概述
百度智能云多用户访问控制(IAM)可为用户提供权限控制功能,目前音视频直播LSS已经接入IAM,并支持对LSS整个产品和产品中更细粒度资源(域名、模板)的权限管理。
通过IAM,用户主用户可以创建多个子用户,通过对子用户授权,可以控制子用户对产品资源、功能的访问。了解多用户访问控制。
使用场景
- 为子用户分配产品权限。
- 为子用户添加系统策略,参考 子用户绑定策略。
注意: 当添加多个策略时,这些策略都会生效,即取他们的并集权限。
- 为子用户添加某个具体资源的权限,参考按策略生成器创建策略。
说明: 权限配置只能对选定的推拉流域名有查询权限,即无法修改他们的配置。
- 为某个子用户分配某一个业务部门资源权限,参考 按标签创建策略。
说明: 配置的策略允许对权限配置中选择的标签资源提供管理权限。
创建子用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户”页,点击“创建子用户”。
-
在弹出的“创建子用户”对话框中,完成填写“用户名”和确定,
- 返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
权限策略分为系统策略和自定义策略。
- 系统策略:只能控制整个产品的权限,为产品粗粒度权限控制,属于内置策略,用户无法创建。
- 自定义策略:可以控制产品下单个或批量资源的权限,可由用户创建,包含按策略生成器创建和按标签创建。
系统策略
系统策略包含读写权限和只读权限2种策略,权限范围详细如下:
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| LSSFullControlAccessPolicy | 整个产品的读写权限 | 用户可对所有域名、模板进行创建、删除、修改、查询 |
| LSSReadAccessPolicy | 整个产品的读权限 | 用户可对所有域名、模板进行查询 |
自定义策略
自定义策略分为按策略生成器创建和按标签创建。
- 按策略生成器创建的策略表示对LSS的单个或多个资源(域名、模板)进行权限控制; 涉及到的权限为管理权限和只读权限。
- 按标签创建的策略表示对LSS打上某类标签的资源进行批量权限控制;涉及到的权限为管理权限、只读权限和运维权限(暂时不生效,用户可以不勾选)。关于标签说明,请查看标签管理。
- 权限说明,如下表所示:
| 类型 | 权限说明 | 权限范围 |
|---|---|---|
| 管理权限 | 单个或批量资源的读写权限 | 用户可对单个或批量域名、模板进行创建、删除、修改、查询 |
| 只读权限 | 单个或批量资源的读权限 | 用户可对单个或批量域名、模板进行查询 |
创建自定义策略
按照策略生成器创建策略
-
进入策略管理模块,点击创建策略,选择按策略生成器创建。
-
为策略添加具体权限。
按照标签创建策略
-
进入策略管理模块,点击创建策略,选择按标签创建策略。
-
为策略添加具体权限。
子用户绑定策略
- 进入 用户管理>子用户模块,展示子用户列表。
-
选择需要绑定策略的子用户,点击操作列的添加权限,进行策略的绑定。
