多用户访问控制
更新时间:2023-03-06
介绍
多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。
适用于下列使用场景:
- 中大型企业客户:对公司内多个员工授权管理;
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理。
创建用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
- 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
配置策略
私有网络VPC支持系统策略和用户自定义策略两种,分别实现VPC的产品级权限和实例级权限控制。
- 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
- 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。编辑策略时,编辑名称之后,在服务类型中请选择“私有网络 VPC”,会出现私有网络VPC的各个子产品,用户可以基于不同用户角色自行设置权限。
说明:
- VPC包含多个子产品,每个子产品的权限都可分为只读、运维、管理三类(部分子产品没有管理权限)。
- 由于自定义策略是赋予具体的某个实例的,只能生效于这些实例,所以自定义策略不具有创建权限。
权限范围
各产品系统策略的名称与三级权限的对应关系如下:
| 产品名称 | 只读权限 | 运维权限 | 管理权限 |
|---|---|---|---|
| VPC | VpcReadOnlyAccessPolicy | VpcOperateAccessPolicy | VpcFullControlPolicy |
| 子网 | SubnetReadOnlyAccessPolicy | SubnetOperateAccessPolicy | SubnetFullControlPolicy |
| 路由表 | RouteReadOnlyAccessPolicy | RouteOperateAccessPolicy | 无 |
| 普通安全组 | SecurityGroupReadOnlyAccessPolicy | SecurityGroupOperateAccessPolicy | SecurityGroupFullControlPolicy |
| 企业安全组 | ESGReadAccessPolicy | ESGOperateAccessPolicy | ESGFullControlAccessPolicy |
| ACL | AclReadPolicy | AclOperatePolicy | 无 |
| 弹性网卡 | ENICReadOnlyAccessPolicy | ENICOperateAccessPolicy | ENICFullControlPolicy |
| 服务网卡 | SNICReadOnlyAccessPolicy | SNICOperateAccessPolicy | SNICFullControlPolicy |
| 高可用虚拟IP | HAVIPReadAccessPolicy | HAVIPOperateAccessPolicy | HAVIPFullControlAccessPolicy |
| NAT网关 | NATReadPolicy | NATOperateAccessPolicy | NATFullControlPolicy |
| IPv6网关 | IPV6ReadPolicy | IPV6OperateAccessPolicy | IPV6FullControlAccessPolicy |
| VPN网关 | VPNReadPolicy | VPNOperatePolicy | VPNFullControlPolicy |
| 对等连接 | PEERCONNReadPolicy | PEERCONNOperatePolicy | PEERCONNFullControlPolicy |
| 专线网关 | DedicatedConnReadPolicy | DedicatedConnOperatePolicy | DedicatedConnFullControlPolicy |
各产品的策略权限范围详细如下:
| 产品 | 只读权限 | 运维权限 | 管理权限 |
|---|---|---|---|
| VPC | 查询VPC列表、查询指定VPC | 查询VPC列表、查询指定VPC、修改VPC名称/描述 | 查询VPC列表、查询指定VPC、修改VPC名称、描述、创建/删除VPC |
| 子网 | 查询子网列表、查询指定子网 | 查询子网列表、查询指定子网、修改子网名称/描述 | 查询子网列表、查询指定子网、修改子网名称/描述、创建/删除子网 |
| 路由表 | 查询路由表 | 查询路由表、创建/删除路由规则 | |
| 普通安全组 | 查询普通安全组列表、详情 | 查询普通安全组列表、详情、添加/删除普通安全组规则、绑定/解绑实例 | 查询普通安全组列表、详情、添加/删除普通安全组规则、绑定/解绑实例、创建/删除普通安全组 |
| 企业安全组 | 查询企业安全组列表、详情 | 查询企业安全组列表、详情、添加/删除企业安全组规则、绑定/解绑实例 | 查询企业安全组列表、详情、添加/删除企业安全组规则、绑定/解绑实例、创建/删除企业安全组 |
| ACL | 查询ACL列表、查询指定ACL | 查询ACL列表、查询指定ACL、添加/删除ACL规则 | |
| 弹性网卡 | 查看实例列表、查看实例详情 | 查看实例列表/详情、变更实例名称/描述、挂载/卸载主机、添加/释放辅助IP、关联安全组 | 查看实例列表/详情、变更实例名称/描述、挂载/卸载主机、添加/释放辅助IP、关联安全组、创建/释放弹性网卡 |
| 服务网卡 | 查看实例列表、查看实例详情 | 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警 | 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警、创建/释放实例 |
| 高可用虚拟IP | 查看实例列表、查看实例详情 | 查看实例列表、查看实例详情、绑定/解绑EIP、添加/释放后端服务器 | 查看实例列表、查看实例详情、绑定/解绑EIP、添加/释放后端服务器、创建/释放实例 |
| NAT网关 | 查询实例列表、查看实例详情 | 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警 | 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警、创建/释放实例、网关升级、续费、计费变更 |
| IPv6网关 | 查询实例列表、查看实例详情 | 查询实例列表、查看实例详情、配置只出不进策略、配置IP限速策略、查看监控、配置报警 | 查询实例列表、查看实例详情、配置只出不进策略、配置IP限速策略、查看监控、配置报警、创建/释放实例、带宽升级、续费、计费变更 |
| VPN网关 | 查询实例列表、查看实例详情 | 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警 | 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警、创建/释放实例、续费 |
| 对等连接 | 查询对等实例列表、查看实例详情、查看跨账号连接申请 | 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警 | 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警、创建/释放对等连接、带宽升级、管理跨账号连接申请 |
| 专线网关 | 查看实例列表、查看实例详情 | 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警 | 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警、创建/释放专线网关 |
用户授权
在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“编辑权限”,并为用户选择系统权限或自定义策略进行授权。
说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。
子用户登录
主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
其他详细操作参考:多用户访问控制。