百度数据工厂Pingo

    多用户访问控制

    多用户访问控制功能实现了多用户协同开发,Pingo的项目管理者(主账号即百度智能云账号)可以创建多个集群资源和多个IAM用户,为不同的IAM用户分配不同的资源环境和操作权限。适用于下列使用场景:

    • 中大型企业客户:对公司内多个员工授权管理;
    • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
    • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

    Pingo项目管理者通过IAM子账号方式进行授权,即在主账号下添加子用户的账号并对子用户进行策略管理,子用户可以通过“IAM用户登录链接”访问主用户的资源。

    目前策略操作类型包括服务查看、服务管理和服务使用:

    服务权限 权限范围
    只读权限 可以查看Pingo服务在console中的列表
    查看服务集群信息(但不可操作集群详情页的任何操作)
    管理权限 停止集群
    删除集群
    启动集群
    集群资源扩容
    使用权限 进入Pingo(Web产品页面)

    Pingo服务只有主账号具备创建集群的权限,子账号没有相关权限,无法进行续费、购买新集群等操作。

    操作步骤

    1. 主账号用户登录后在控制台左侧导航选择“多用户访问控制”进入用户中心/IAM用户页面。 可以根据管理需要新建子用户并设置登陆密码。

    2. 在“子用户管理列表”页面点击新建用户,将需要添加为子用户的账号名填至“登录名”,显示名为子用户希望显示的昵称,说明用于标识用户类型或其它说明。 添加成功后可以在列表中看到显示名和登录名,子用户可以通过主账号提供的IAM用户链接进行登录。

      说明:通过用户信息中添加的协作者用户会同步到“多用户访问控制”的用户列表中。子用户添加完成后需要对子用户进行策略管理,点击“策略管理”进入权限策略列表页面设定子用户的操作及查看权限。

    3. 策略包含系统策略和用户自定义策略两种。其中系统策略主要是百度智能云系统为了管理资源预定义的策略,如用于服务运行离线任务时使用,Pingo用户无需关注。Pingo用户需要根据服务权限和资源自定义策略。
    4. 选择“自定义策略”并点击“创建策略”。服务类型,选择“数据工厂Pingo”,根据要赋予的权限和集群,创建相对应的策略。例如我们创建一个名为“bj_pingo12201636_all”的策略:

      策略权限为拥有华北-北京区域的一个叫pingo12201636的集群的全部服务权限:

      设置完成之后,点击“完成”,即可在自定义策略看到刚刚创建的权限策略。

      说明: 添加或修改策略生效时间需要5分钟左右。

    5. 在用户管理>子用户管理列表页的对应子用户的“操作”列选择“添加权限”,并选择用户自定义策略进行授权。

      • 如果用户在“添加权限”时被赋予了“系统管理员”权限后会等同于协作者,即协作者就是拥有“系统管理员”权限的子用户。
      • 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
    6. 子用户的账户和权限添加完成后,子用户可以直接通过子用户管理列表的"IAM用户登录链接"进入IAM子用户专用登陆界面进行子用户的登陆 。

      输入子用户的登陆名和密码进行子用户登陆。

    7. 登录成功后可以看到被赋权的用户享有主账户对其赋予的服务权限。

      进入服务之后,子用户根据权限策略的配置,享有对Pingo指定资源的操作和查看权限。

      更多IAM的操作使用,可查看多用户访问控制产品文档。

    上一篇
    账号与权限
    下一篇
    开始使用Pingo