多用户访问控制
所有文档
menu

私有网络 VPC

多用户访问控制

产品详情自助选购

介绍

多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,能够对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理;
  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

创建用户

  1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

  2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
  3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。 image.png

配置策略

私有网络VPC支持系统策略和用户自定义策略两种,分别实现VPC的产品级权限和实例级权限控制。

  • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
  • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。编辑策略时,编辑名称之后,在服务类型中请选择“私有网络 VPC”,会出现私有网络VPC的各个子产品,用户可以基于不同用户角色自行设置权限。 image.png

说明:

  • VPC包含多个子产品,每个子产品的权限都可分为只读、运维、管理三类(部分子产品没有管理权限)。
  • 由于自定义策略是赋予具体的某个实例的,只能生效于这些实例,所以自定义策略不具有创建权限。

权限范围

各产品系统策略的名称与三级权限的对应关系如下:

产品名称 只读权限 运维权限 管理权限
VPC VpcReadOnlyAccessPolicy VpcOperateAccessPolicy VpcFullControlPolicy
子网 SubnetReadOnlyAccessPolicy SubnetOperateAccessPolicy SubnetFullControlPolicy
路由表 RouteReadOnlyAccessPolicy RouteOperateAccessPolicy
普通安全组 SecurityGroupReadOnlyAccessPolicy SecurityGroupOperateAccessPolicy SecurityGroupFullControlPolicy
企业安全组 ESGReadAccessPolicy ESGOperateAccessPolicy ESGFullControlAccessPolicy
ACL AclReadPolicy AclOperatePolicy
弹性网卡 ENICReadOnlyAccessPolicy ENICOperateAccessPolicy ENICFullControlPolicy
服务网卡 SNICReadOnlyAccessPolicy SNICOperateAccessPolicy SNICFullControlPolicy
高可用虚拟IP HAVIPReadAccessPolicy HAVIPOperateAccessPolicy HAVIPFullControlAccessPolicy
NAT网关 NATReadPolicy NATOperateAccessPolicy NATFullControlPolicy
IPv6网关 IPV6ReadPolicy IPV6OperateAccessPolicy IPV6FullControlAccessPolicy
VPN网关 VPNReadPolicy VPNOperatePolicy VPNFullControlPolicy
对等连接 PEERCONNReadPolicy PEERCONNOperatePolicy PEERCONNFullControlPolicy
专线网关 DedicatedConnReadPolicy DedicatedConnOperatePolicy DedicatedConnFullControlPolicy

各产品的策略权限范围详细如下:

产品 只读权限 运维权限 管理权限
VPC 查询VPC列表、查询指定VPC 查询VPC列表、查询指定VPC、修改VPC名称/描述 查询VPC列表、查询指定VPC、修改VPC名称、描述、创建/删除VPC
子网 查询子网列表、查询指定子网 查询子网列表、查询指定子网、修改子网名称/描述 查询子网列表、查询指定子网、修改子网名称/描述、创建/删除子网
路由表 查询路由表 查询路由表、创建/删除路由规则
普通安全组 查询普通安全组列表、详情 查询普通安全组列表、详情、添加/删除普通安全组规则、绑定/解绑实例 查询普通安全组列表、详情、添加/删除普通安全组规则、绑定/解绑实例、创建/删除普通安全组
企业安全组 查询企业安全组列表、详情 查询企业安全组列表、详情、添加/删除企业安全组规则、绑定/解绑实例 查询企业安全组列表、详情、添加/删除企业安全组规则、绑定/解绑实例、创建/删除企业安全组
ACL 查询ACL列表、查询指定ACL 查询ACL列表、查询指定ACL、添加/删除ACL规则
弹性网卡 查看实例列表、查看实例详情 查看实例列表/详情、变更实例名称/描述、挂载/卸载主机、添加/释放辅助IP、关联安全组 查看实例列表/详情、变更实例名称/描述、挂载/卸载主机、添加/释放辅助IP、关联安全组、创建/释放弹性网卡
服务网卡 查看实例列表、查看实例详情 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警、创建/释放实例
高可用虚拟IP 查看实例列表、查看实例详情 查看实例列表、查看实例详情、绑定/解绑EIP、添加/释放后端服务器 查看实例列表、查看实例详情、绑定/解绑EIP、添加/释放后端服务器、创建/释放实例
NAT网关 查询实例列表、查看实例详情 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警、创建/释放实例、网关升级、续费、计费变更
IPv6网关 查询实例列表、查看实例详情 查询实例列表、查看实例详情、配置只出不进策略、配置IP限速策略、查看监控、配置报警 查询实例列表、查看实例详情、配置只出不进策略、配置IP限速策略、查看监控、配置报警、创建/释放实例、带宽升级、续费、计费变更
VPN网关 查询实例列表、查看实例详情 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警、创建/释放实例、续费
对等连接 查询对等实例列表、查看实例详情、查看跨账号连接申请 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警、创建/释放对等连接、带宽升级、管理跨账号连接申请
专线网关 查看实例列表、查看实例详情 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警、创建/释放专线网关

用户授权

在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“编辑权限”,并为用户选择系统权限或自定义策略进行授权。 image.png

说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

其他详细操作参考:多用户访问控制

上一篇
标签管理
下一篇
典型实践