多用户访问控制
更新时间:2022-08-24
介绍
说明:
(目前标签管理TAG主子用户鉴权功能暂时对白名单用户开放,有相关诉求用户请工单联系标签团队)
多用户访问控制(Identity and Access Management, IAM),主要用于百度智能云的身份管理和访问控制,解决云账户的集中授权与管理、资源分享与多用户协同工作等问题。多用户访问控制适用于企业内的不同职能角色,你可以对不同员工赋予产品的不同权限,以共享你账户内的资源,完成他们的工作。当你的企业存在需要多用户协同工作、分享资源时,推荐你使用多用户访问控制。
以下是多用户访问控制适用的典型场景:
- 中大型企业客户:对公司内多个部门的不同员工进行集中资源和权限管理;
- 独立软件服务商(ISV)或SaaS平台商:对代理客户进行集中的资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源和权限管理。
创建用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
- 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
标签管理TAG支持系统策略,实现产品级管理权限控制。
系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
系统策略
| 策略名称 | 权限说明 | 权限范围 |
|---|---|---|
| TAGFullControlAccessPolicy | 完全控制管理标签管理(TAG)的权限 | - 创建/删除TAG - 绑定、解绑资源 (包括关联资源的绑定/解绑) - 收藏、取消收藏 - 包含运维和只读权限 |
| TAGOperateAccessPolicy | 运维标签管理(TAG)的权限 | - 绑定、解绑资源 (包括关联资源的绑定/解绑) - 包含读权限 |
| TAGReadAccessPolicy | 只读标签管理(TAG)的权限 | - 包含读权限 |
自定义策略
主用户可以通过点击“策略管理>创建策略”添加自定义策略来进行实例级权限控制,TAG支持自定义策略的"按策略语法创建"方式,用户可以根据具体的权限设置修改策略内容。具体配置方法可以参见创建自定义策略。
用户授权
在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。
说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
主账号完成对子用户的授权后,可以将链接发送给子用户。子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
