配置SMS多用户访问控制
更新时间:2023-02-02
概述
多用户访问控制,主要用于帮助用户管理不同的工作人员赋予使用产品的不同权限,当您存在多用户协同操作资源时,推荐您使用多用户访问控制。
操作步骤
1. 创建子用户
- 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面
- 在左侧导航栏点击“用户管理”,在“用户管理 > 子用户”列表页,点击“创建子用户”
- 在弹出的“创建子用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。(如果子账号需要上传文件,建议授权“编程访问”,否则上传文件会报错“鉴权失败”)
2. 配置策略
2.1 策略说明
SMS 支持系统策略和用户自定义策略两种:
- 系统策略
百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。策略说明:
| 策略名称 | 策略描述 | 权限范围说明 |
|---|---|---|
| SMSFullControlAccessPolicy | 完全控制管理简单消息服务(SMS)的权限 | SMS所有业务模块的增删改查操作 |
| SMSReadAccessPolicy | 只读访问简单消息服务(SMS)的权限 | SMS所有业务模块的只读操作 |
| SMSCreateInstanceAccessPolicy | SMS创建实例(模板)权限 | 创建模版操作、其他模块(除模板管理)的增删改查操作 |
| SMSOperateAccessPolicy | 运维操作SMS的权限 | 除创建模板之外的所有模块的增删改查操作 |
- 自定义策略
由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。
支持按照功能模块、或者功能点对权限进行任务组合,策略说明:
| 权限分类 | 策略实例 | 策略实例描述 | 权限范围说明 |
|---|---|---|---|
| 按功能模块 | Signature | 签名管理 | 签名模块的增删改查权限 |
| Template | 模板管理 | 模板模块的增删改查权限 | |
| System | 系统设置管理 | 系统设置模块的增删改查权限,比如回调地址配置、发送配额配置等 | |
| Other | 通用管理 | 通用模块增删改查权限(如黑名单管理号码管理)、群发短信功能权限 | |
| 按功能点 | CreateSignature | 创建签名 | 只拥有创建签名操作权限 |
| DeleteSignature | 删除签名 | 只拥有删除签名操作权限 | |
| UpdateSignature | 更新签名 | 只拥有更新签名操作权限(包括取消申请、重新申请) | |
| CreateTemplate | 创建模板 | 只拥有创建模板操作权限包括国际签名 | |
| DeleteTemplate | 删除模板 | 只拥有删除模板操作权限 | |
| UpdateTemplate | 更新模板 | 只拥有更新模板操作权限(包括取消申请、重新申请) | |
| UpdateWebhook | 更新回调地址 | 只拥有更新回调地址操作权限 | |
| UpdatePrepaidPackageWaring | 流量包预警配置 | 只拥有流量包预警配置操作权限 | |
| UpdateFrequency | 更新发送频率配置 | 只拥有更新发送频率配置操作权限 | |
| UpdateQuota | 更新配额配置 | 只拥有更新发送频率配置操作权限 | |
| CreateRateLimit | 新增频控白名单 | 只拥有新增频控白名单操作权限 | |
| DeleteRateLimit | 删除频控白名单 | 只拥有删除频控白名单操作权限 |
特殊说明:
- Signature、Template、CreateSignature、DeleteSignature、UpdateSignature、CreateTemplate、DeleteTemplate、UpdateTemplate 权限实例不区分国内或国际。
- 支持以上任意策略实例的组合。如要为子用户赋予创建签名和模板管理,则只需要配置CreateSignature、Template策略即可。具体配置详见第2.2节。
2.2 策略配置流程(自定义策略)
- 登录进入策略管理页面,点击创建策略
- 选择创建策略方式
您可以选择"按策略语法创建"。 - 填写策略基本信息
策略名称尽量使用英文,尽量与系统已有策略规则一致:
策略内容Demo:
{
"accessControlList": [
{
"service": "bce:sms",
"region": "*",
"resource": [
"*"
],
"effect": "Allow",
"permission": [
"Signature",
"CreatTemplate",
"UpdateTemplate",
"Other",
"System"
]
}
]
}特殊说明
- 按照上述策略Demo中的语法创建,只需要修改permission中的策略实例,既可实现自定义策略配置。
- 如配置多个策略实例,按照实例权限范围的并集生效。如在permission中配置了Signature、CreateSignature,那么最终的权限为签名模块的增删改查权限。
3. 子用户授权配置
当您创建完子用户并生成策略后,即可以为该子用户授予该策略。授予后,子用户在访问主用户资源时,将受到授予策略中已配置权限的限制。
- 在“用户管理->子用户”列表页中希望授权的子用户后“操作”栏中选择“添加权限”
- 在“授权页面”中选择系统提供简单消息服务策略或自定义的策略,进行保存
4. 子用户登录
添加完子用户权限后,子用户的使用权限及时生效。
将控制台上方的子用户登录链接发送给子用户,子用户可以通过该链接登录控制台。
登录后,该子用户将根据被授权的策略对主账户资源进行操作和查看。
您可以使用 修改实例密码接口 为指定实例重置密码。