多用户访问控制
多用户访问控制功能实现了多用户协同开发,Pingo的项目管理者(主账号即百度智能云账号)可以创建多个集群资源和多个IAM用户,为不同的IAM用户分配不同的资源环境和操作权限。适用于下列使用场景:
- 中大型企业客户:对公司内多个员工授权管理;
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理。
Pingo项目管理者通过IAM子账号方式进行授权,即在主账号下添加子用户的账号并对子用户进行策略管理,子用户可以通过“IAM用户登录链接”访问主用户的资源。
目前策略操作类型包括服务查看、服务管理和服务使用:
| 服务权限 | 权限范围 |
|---|---|
| 只读权限 | 可以查看Pingo服务在console中的列表 查看服务集群信息(但不可操作集群详情页的任何操作) |
| 管理权限 | 停止集群 删除集群 启动集群 集群资源扩容 |
| 使用权限 | 进入Pingo(Web产品页面) |
Pingo服务只有主账号具备创建集群的权限,子账号没有相关权限,无法进行续费、购买新集群等操作。
操作步骤
-
主账号用户登录后在控制台左侧导航选择“多用户访问控制”进入用户中心/IAM用户页面。 可以根据管理需要新建子用户并设置登录密码。
-
在“子用户管理列表”页面点击新建用户,将需要添加为子用户的账号名填至“登录名”,显示名为子用户希望显示的昵称,说明用于标识用户类型或其它说明。 添加成功后可以在列表中看到显示名和登录名,子用户可以通过主账号提供的IAM用户链接进行登录。
说明:通过用户信息中添加的协作者用户会同步到“多用户访问控制”的用户列表中。子用户添加完成后需要对子用户进行策略管理,点击“策略管理”进入权限策略列表页面设定子用户的操作及查看权限。
- 策略包含系统策略和用户自定义策略两种。其中系统策略主要是百度智能云系统为了管理资源预定义的策略,如用于服务运行离线任务时使用,Pingo用户无需关注。Pingo用户需要根据服务权限和资源自定义策略。
-
选择“自定义策略”并点击“创建策略”。服务类型,选择“数据工厂Pingo”,根据要赋予的权限和集群,创建相对应的策略。例如我们创建一个名为“bj_pingo12201636_all”的策略:
策略权限为拥有华北-北京区域的一个叫pingo12201636的集群的全部服务权限:
设置完成之后,点击“完成”,即可在自定义策略看到刚刚创建的权限策略。
说明: 添加或修改策略生效时间需要5分钟左右。
-
在用户管理>子用户管理列表页的对应子用户的“操作”列选择“添加权限”,并选择用户自定义策略进行授权。
- 如果用户在“添加权限”时被赋予了“系统管理员”权限后会等同于协作者,即协作者就是拥有“系统管理员”权限的子用户。
- 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
-
子用户的账户和权限添加完成后,子用户可以直接通过子用户管理列表的"IAM用户登录链接"进入IAM子用户专用登录界面进行子用户的登录 。
输入子用户的登录名和密码进行子用户登录。
-
登录成功后可以看到被赋权的用户享有主账户对其赋予的服务权限。
进入服务之后,子用户根据权限策略的配置,享有对Pingo指定资源的操作和查看权限。
更多IAM的操作使用,可查看多用户访问控制产品文档。