简介

多用户访问控制，主要用于帮助用户管理云账户下资源的访问权限，适用于企业内的不同角色，可以对不同的工作人员赋予使用产品的不同权限，当您的企业存在多用户协同操作资源时，推荐您使用多用户访问控制。

适用于下列使用场景：

• 中大型企业客户：对公司内多个员工授权管理；
• 偏技术型vendor或SAAS的平台商：对代理客户进行资源和权限管理；
• 中小开发者或小企业：添加项目成员或协作者，进行资源管理。

多用户访问控制包含以下几个流程：

1. 创建子用户
2. 配置策略
3. 为子用户授权系统权限
4. 子用户登录控制台

详细的操作步骤请参见多用户访问控制一般操作步骤

创建子用户

1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

   

2. 在左侧导航栏点击“用户管理”，在“子用户管理列表”页，点击“新建用户”。
3. 在弹出的“新建用户”对话框中，完成填写“用户名”和确认，返回“子用户管理列表”区可以查看到刚刚创建的子用户。

权限策略配置

权限策略表示的是“允许／拒绝对某资源执行某种操作”，通过将策略授予用户可以使用户拥有相应权限。目前百度智能云支持系统策略和自定义策略两种权限策略，两者主要区别在于资源的配置。

• 系统策略对主用户的所有消息服务 for RabbitMQ 资源生效，用户不能随意修改。
• 自定义策略中，用户可以指定任一实例级别的资源，实现更细粒度的资源配置。

1. 操作权限说明

目前消息服务 for RabbitMQ 提供三种操作类型，对应权限如下表所示：

操作类型	实例操作权限
管理操作	- 创建实例 - 重启实例 - 删除实例 - 修改实例信息 - 重置实例密码 - 获取当前用户实例列表 - 查看实例详情/监控 - 添加白名单 - 删除白名单 - 查询白名单
运维操作	- 重启实例 - 修改实例信息 - 重置实例密码 - 获取当前用户实例列表 - 查看实例详情/监控 - 添加白名单 - 删除白名单 - 查询白名单
只读操作	- 获取当前用户实例列表 - 查看实例详情/监控 - 查询白名单

2. 系统策略

系统策略是消息服务 for RabbitMQ 定义好的策略，可以指定对主用户拥有的全部实例的操作权限。 RabbitMQ 目前提供了三种系统策略，分别对应三种操作类型：

策略名称	操作类型
RABBITMQFullControlPolicy	管理操作
RABBITMQOperatePolicy	运维操作
RABBITMQReadPolicy	只读操作

消息服务 for RabbitMQ 的配置查看方法如下：

1. 进入“管理控制台”，选择“多用户访问控制”。

   

2. 选择“策略管理”，搜索RABBITMQ，可以看到消息服务 for RabbitMQ 相关策略。

   

3. 自定义策略

自定义策略由主用户自己定义，可以精确指定对主用户拥有的任一实例的操作权限。目前IAM支持2种方式创建自定义策略：按策略生成器创建和按标签创建。按策略生成器创建的方式，通过选择服务、权限以及区域下实例，以生成策略；按标签创建，根据你为服务实例创建的标签筛选资源，生成策略。

配置自定义策略的详细操作步骤请参见自定义策略操作步骤。

子用户授权

1. 在“用户管理”页签为子用户添加权限。

   

2. 筛选“全部策略”、“系统策略”或“自定义策略”，获取相应策略列表，选择希望授予子用户的权限，点击“确定”即可将权限赋予子用户。

   

3. 删除子用户授权：点击用户名，进入“子用户详情页面”，“权限信息”处可以看到此用户拥有的权限，点击“删除”可以将此权限从用户权限中去掉。

   

子用户访问

主账号完成对子用户的授权后，可以将链接发送给子用户；子用户可以通过IAM用户登录链接登录主账号的管理控制台，根据被授权的策略对主账户资源进行操作和查看。