私有网络VPC

    多用户访问控制

    介绍

    多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

    适用于下列使用场景:

    • 中大型企业客户:对公司内多个员工授权管理;
    • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
    • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

    创建用户

    1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

    2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
    3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

    配置策略

    私有网络VPC支持系统策略和用户自定义策略两种,分别实现VPC的产品级权限和实例级权限控制。

    • 系统策略:百度智能云系统为管理资源而预定义的权限集,这类策略可直接为子用户授权,用户只能使用而不能修改。
    • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个实例配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

    说明:

    • VPC包含多个子产品,每个子产品的权限都可分为只读、运维、管理三类(部分子产品没有管理权限)。
    • 由于自定义策略是赋予具体的某个实例的,只能生效于这些实例,所以自定义策略不具有创建权限。

    权限范围

    各产品系统策略的名称与三级权限的对应关系如下:

    产品名称 只读权限 运维权限 管理权限
    VPC VpcReadOnlyAccessPolicy VpcOperateAccessPolicy VpcFullControlPolicy
    子网 SubnetReadOnlyAccessPolicy SubnetOperateAccessPolicy SubnetFullControlPolicy
    安全组 SecurityGroupReadOnlyAccessPolicy SecurityGroupOperateAccessPolicy SecurityGroupFullControlPolicy
    ACL AclReadPolicy AclOperatePolicy
    路由表 RouteReadOnlyAccessPolicy RouteOperateAccessPolicy
    服务网卡 SNICReadOnlyAccessPolicy SNICOperateAccessPolicy SNICFullControlPolicy
    NAT网关 NATReadPolicy NATOperateAccessPolicy NATFullControlPolicy
    VPN网关 VPNReadPolicy VPNOperatePolicy VPNFullControlPolicy
    对等连接 PEERCONNReadPolicy PEERCONNOperatePolicy PEERCONNFullControlPolicy
    专线网关 DedicatedConnReadPolicy DedicatedConnOperatePolicy DedicatedConnFullControlPolicy

    各产品的策略权限范围详细如下:

    产品 只读权限 运维权限 管理权限
    VPC 查询VPC列表、查询指定VPC 查询VPC列表、查询指定VPC、修改VPC名称/描述 查询VPC列表、查询指定VPC、修改VPC名称、描述、创建/删除VPC
    子网 查询子网列表、查询指定子网 查询子网列表、查询指定子网、修改子网名称/描述 查询子网列表、查询指定子网、修改子网名称/描述、创建/删除子网
    安全组 查询安全组列表、查看安全组详情 查询安全组列表、查看安全组详情、添加/删除安全组规则、绑定/解绑实例 查询安全组列表、查看安全组详情、添加/删除安全组规则、绑定/解绑实例、创建/删除安全组
    ACL 查询ACL列表、查询指定ACL 查询ACL列表、查询指定ACL、添加/删除ACL规则
    路由表 查询路由表 查询路由表、创建/删除路由规则
    服务网卡 查看实例列表、查看实例详情 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警 查看实例列表、查看实例详情、修改网卡名称/描述、查看监控、配置报警、创建/释放实例
    NAT网关 查询实例列表、查看实例详情 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警 查询实例列表、查看实例详情、绑定/解绑公网IP、查看监控、配置报警、创建/释放实例、网关升级、续费、计费变更
    VPN网关 查询实例列表、查看实例详情 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警 查询实例列表、查看实例详情、绑定/解绑公网IP、配置VPN隧道、查看监控、配置报警、创建/释放实例、续费
    对等连接 查询对等实例列表、查看实例详情、查看跨账号连接申请 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警 查询对等实例列表、查看实例详情、查看跨账号连接申请、修改实例名称/描述/本端接口名称、查看监控、配置报警、创建/释放对等连接、带宽升级、管理跨账号连接申请
    专线网关 查看实例列表、查看实例详情 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警 查看实例列表、查看实例详情、修改名称/描述/出口带宽/云端网络、绑定/解绑物理专线、查看监控、配置报警、创建/释放专线网关

    用户授权

    在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

    说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

    子用户登录

    主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

    其他详细操作参考:多用户访问控制

    上一篇
    使用IPv6
    下一篇
    标签管理