多用户访问控制

MapReduce BMR

  • 发行版本
  • 功能发布记录
  • 产品描述
    • 节点类型说明
    • 产品优势
    • 应用场景
    • 产品功能
    • 产品简介
  • Python-SDK
    • Cluster(集群)
    • BmrClient
    • 异常处理
    • InstanceGroup(实例组)
    • 简介
    • 文档更新记录
    • Step(作业)
    • 版本变更记录
    • Instance(实例)
    • 快速入门
    • 安装SDK工具包
  • 开源组件介绍
    • Impala
    • Pig
    • Druid
    • Presto
    • Hue
    • Ooize
    • HBase
    • Kudu
    • Sqoop
    • Hadoop-Streaming
    • Zeppelin
    • Alluxio
    • Kerberos
      • 集群互信配置
      • 概述
    • ClickHouse
      • 常见问题
      • 数据迁移同步
        • 从Spark导入
        • 从Kafka同步数据
        • 将自建ClickHouse数据迁移到云ClickHouse中
        • 从Flink导入
        • 从MySQL导入和同步
        • 从本地数据导入
          • Parquet格式
          • JSON
          • SQL转储
          • CSV and TSV
      • 快速入门
        • 访问模式
        • 客户端登录
        • 创建ClickHouse集群
        • 基础操作
      • 运维相关操作
        • ClickHouse集群扩容
        • ClickHouse集群缩容
        • 日志配置说明
        • 监控告警配置
    • Ranger
      • ranger概述
      • 权限策略配置
    • Paimon
      • Hive示例
      • StarRocks示例
      • 联合查询示例
      • Flink示例
      • Spark示例
    • Flink
      • 基础使用
    • Trino
      • 基础使用
      • 概述
    • Spark
      • 引擎增强
      • 基础使用
    • Hive
      • 开发指南
        • 自定义函数(UDF)
      • 实践操作
        • Hive迁移
        • Hive操作HBase外表
      • 基础使用
        • Hive基础操作
        • Hive连接方式
  • Java-SDK
    • Cluster(集群)
    • 异常
    • BmrClient
    • InstanceGroup(实例组)
    • 日志
    • 文档更新记录
    • 版本更新记录
    • Step(作业)
    • Instance(实例)
    • 快速入门
    • 安装SDK工具包
    • 概述
  • 快速入门
    • 操作流程概览
    • 环境准备
    • 创建集群
    • 数据准备
    • 开发作业
    • 查看结果
    • ClickHouse
      • 导入数据
      • 创建数据库
      • 连接集群
      • 创建表
  • 操作指南
    • 集群模板
    • 服务管理
    • 集群配置
      • 用户管理
      • 弹性伸缩
      • 创建集群
      • 集群安全模式
      • EIP
      • Hive元数据说明
      • 集群审计
      • 配置已有集群
      • 安全组
    • 管理作业
      • 创建作业
      • 诊断、调优
      • 定时任务
      • 查看作业
    • 访问集群
      • 访问集群服务页面
      • 访问集群-openVPN访问集群
      • 使用OpenVPN提交Hadoop作业
      • SSH连接到集群
    • 实践操作
      • 存储数据至HBase
      • 导入数据
      • 编译Maven项目
      • Sqoop导入导出数据
        • 导出数据
    • 权限管理
      • 多用户访问控制
      • 用户管理
    • 集群管理
      • 节点管理
      • 监控报警
      • 集群指标
      • 资源管理
  • 服务等级协议SLA
    • BMR服务等级协议SLA
  • API参考
    • 通用说明
    • 公共头
    • 数据类型
    • 版本更新记录
    • 服务域名
    • 实例操作接口
    • 实例组操作接口
    • 集群操作接口
    • API简介
    • 错误码
  • 常见问题
    • 安全性问题
    • 计费类问题
    • 常见问题总览
    • 性能类问题
    • 配置类问题
    • 故障类问题
  • 视频专区
    • 操作指南
    • 产品介绍
  • 场景教程
    • 流式应用场景
    • 离线应用场景
    • 使用Hive分析网站日志
    • Sqoop应用文档
    • 定时分析日志数据
    • HIVE
      • 不同集群的 Hive 迁移方案
      • Hive 操作 Hbase 外部表
  • 产品定价
    • 转换计费方式
    • 计费项
    • 到期或欠费说明
    • 包年包月计费
    • 续费说明
    • 变更配置计费说明
    • 计费方式
    • 按需计费
    • 账单和用量查询
    • 退款说明
所有文档
menu
没有找到结果,请重新输入

MapReduce BMR

  • 发行版本
  • 功能发布记录
  • 产品描述
    • 节点类型说明
    • 产品优势
    • 应用场景
    • 产品功能
    • 产品简介
  • Python-SDK
    • Cluster(集群)
    • BmrClient
    • 异常处理
    • InstanceGroup(实例组)
    • 简介
    • 文档更新记录
    • Step(作业)
    • 版本变更记录
    • Instance(实例)
    • 快速入门
    • 安装SDK工具包
  • 开源组件介绍
    • Impala
    • Pig
    • Druid
    • Presto
    • Hue
    • Ooize
    • HBase
    • Kudu
    • Sqoop
    • Hadoop-Streaming
    • Zeppelin
    • Alluxio
    • Kerberos
      • 集群互信配置
      • 概述
    • ClickHouse
      • 常见问题
      • 数据迁移同步
        • 从Spark导入
        • 从Kafka同步数据
        • 将自建ClickHouse数据迁移到云ClickHouse中
        • 从Flink导入
        • 从MySQL导入和同步
        • 从本地数据导入
          • Parquet格式
          • JSON
          • SQL转储
          • CSV and TSV
      • 快速入门
        • 访问模式
        • 客户端登录
        • 创建ClickHouse集群
        • 基础操作
      • 运维相关操作
        • ClickHouse集群扩容
        • ClickHouse集群缩容
        • 日志配置说明
        • 监控告警配置
    • Ranger
      • ranger概述
      • 权限策略配置
    • Paimon
      • Hive示例
      • StarRocks示例
      • 联合查询示例
      • Flink示例
      • Spark示例
    • Flink
      • 基础使用
    • Trino
      • 基础使用
      • 概述
    • Spark
      • 引擎增强
      • 基础使用
    • Hive
      • 开发指南
        • 自定义函数(UDF)
      • 实践操作
        • Hive迁移
        • Hive操作HBase外表
      • 基础使用
        • Hive基础操作
        • Hive连接方式
  • Java-SDK
    • Cluster(集群)
    • 异常
    • BmrClient
    • InstanceGroup(实例组)
    • 日志
    • 文档更新记录
    • 版本更新记录
    • Step(作业)
    • Instance(实例)
    • 快速入门
    • 安装SDK工具包
    • 概述
  • 快速入门
    • 操作流程概览
    • 环境准备
    • 创建集群
    • 数据准备
    • 开发作业
    • 查看结果
    • ClickHouse
      • 导入数据
      • 创建数据库
      • 连接集群
      • 创建表
  • 操作指南
    • 集群模板
    • 服务管理
    • 集群配置
      • 用户管理
      • 弹性伸缩
      • 创建集群
      • 集群安全模式
      • EIP
      • Hive元数据说明
      • 集群审计
      • 配置已有集群
      • 安全组
    • 管理作业
      • 创建作业
      • 诊断、调优
      • 定时任务
      • 查看作业
    • 访问集群
      • 访问集群服务页面
      • 访问集群-openVPN访问集群
      • 使用OpenVPN提交Hadoop作业
      • SSH连接到集群
    • 实践操作
      • 存储数据至HBase
      • 导入数据
      • 编译Maven项目
      • Sqoop导入导出数据
        • 导出数据
    • 权限管理
      • 多用户访问控制
      • 用户管理
    • 集群管理
      • 节点管理
      • 监控报警
      • 集群指标
      • 资源管理
  • 服务等级协议SLA
    • BMR服务等级协议SLA
  • API参考
    • 通用说明
    • 公共头
    • 数据类型
    • 版本更新记录
    • 服务域名
    • 实例操作接口
    • 实例组操作接口
    • 集群操作接口
    • API简介
    • 错误码
  • 常见问题
    • 安全性问题
    • 计费类问题
    • 常见问题总览
    • 性能类问题
    • 配置类问题
    • 故障类问题
  • 视频专区
    • 操作指南
    • 产品介绍
  • 场景教程
    • 流式应用场景
    • 离线应用场景
    • 使用Hive分析网站日志
    • Sqoop应用文档
    • 定时分析日志数据
    • HIVE
      • 不同集群的 Hive 迁移方案
      • Hive 操作 Hbase 外部表
  • 产品定价
    • 转换计费方式
    • 计费项
    • 到期或欠费说明
    • 包年包月计费
    • 续费说明
    • 变更配置计费说明
    • 计费方式
    • 按需计费
    • 账单和用量查询
    • 退款说明
  • 文档中心
  • arrow
  • MapReduceBMR
  • arrow
  • 操作指南
  • arrow
  • 权限管理
  • arrow
  • 多用户访问控制
本页目录
  • 概论
  • 适用场景
  • 访问策略
  • 权限模型
  • 子用户操作
  • 创建子用户
  • 子用户登录
  • 配置策略
  • 创建策略
  • 用户授权
  • 相关服务授权

多用户访问控制

更新时间:2025-08-21

多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

概论

适用场景

多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。 适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理
  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理
  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理

访问策略

多用户访问控制实现了企业或组织内部不同人员乃至不同部门协同地管理和使用BMR资源的功能。在BMR中,我们将集群和定时任务视为资源。协同工作的方式是主用户需要创建子用户,并为子用户分配访问策略。 目前访问控制策略分为权限和资源两个维度。其中,权限是指用户可执行的动作,如创建、删除,查看,修改等;资源是指集群或定时任务。权限又被分为粗粒度和细粒度两种,粗粒度权限是指不限定具体的资源的权限,一个粗粒度权限可对应多个细粒度权限;而细粒度权限需要选定某一个或多个资源。被赋予某种策略的子用户将会具有相应资源的相应访问权限。比如:

Plain Text 
1ACL{ //该策略为对全部资源具有READ粗粒度权限;
2"resource": ["*"], //资源
3"permission": [ //权限
4         "READ"
5]
6};
7
8
9ACL{ //该策略为对某个集群具有ScaleCluster(扩缩容)细粒度权限;
10"resource": ["cluster/ clusterID"], //资源
11"permission": [ //权限
12         " ScaleCluster"
13]
14}。

说明:

  • BMR所有资源均归属于主用户,子用户所创建或删除的资源均计费于主用户之下。
  • 未对集群模板做权限控制,对集群模板的操作,子用户与主用户权限相同。
  • 每次策略变动将在5分钟后生效。

权限模型

表一 权限模型说明

粗粒度权限名称 描述 对应细粒度权限名称 描述
READ 仅使用BMR的权限 ReadCluster 读取集群
- - ReadStep 查看作业详情
- - CreateStep 创建作业
- - CancelStep 终止作业
- - ReadExecutionPlan 读取定时任务
- - UpdateExecutionPlan 更新定时任务包括调整执行策略、添加、删除定时任务上的作业
LIST_ALL_STEP 拉取作业列表 无 -
CREATE_DELETE 仅创建和删除BMR资源的权限 无 -
- - CreateCluster 创建BMR集群
- - DeleteCluster 删除BMR集群
OPERATE 仅运维BMR的权限 RenameCluster 更改集群名称
- - ScaleCluster 变更集群配置,即扩缩容
- - SwitchExecutionPlan 启停定时任务
FULL_CONTROL 具有完全控制管理BMR的权限 无 -

选择一个粗粒度权限策略表示选择了该粗粒度权限对应的全部细粒度权限。从命名中可以看出,粗粒度权限名为全部大写字符,细粒度权限名为驼峰式命名。

说明:

  • LIST_ALL_STEP粗粒度权限可访问全部作业列表,包括集群页面下作业列表;
  • READ粗粒度权限,或指定集群ID的ReadStep细粒度权限仅可访问集群页面下作业列表,同时该权限可查看作业详情。

子用户操作

创建子用户

主账号用户登录后在控制台选择多用户访问控制进入用户管理页面。

  1. 在左侧导航栏选择用户管理,选择子用户,点击创建子用户。
  2. 在弹出的创建子用户对话框中,完成填写用户名等信息后确认,返回子用户管理列表区可以查看到刚刚创建的子用户。

子用户登录

主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

配置策略

权限策略有两种类型系统权限策略和自定义权限策略。可选择系统策略或自定义策略来查看权限策略列表,分别实现BMR的产品级权限和资源级权限控制。

创建策略

1.点击创建策略,选择策略类型(按策略生成器创建、按标签创建、按策略语法创建和按资源组创建)

表三 策略创建类型说明

策略创建类型名称 策略创建类型说明
策略生成器 选择服务、权限以及区域下实例,生成策略。
1.登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
2.点击创建策略,弹窗中选择按策略生成器创建;
3.填写基本信息中的策略名称和描述;
4.填写权限配置,如需添加权限点击下方添加权限按钮,为当前策略再增加一条权限。
-选择服务:即需要选择的产品名称
-选择方式:可视化编辑或策略语法编辑
标签 根据你为服务实例创建的便签筛选资源,生成实例。
1.登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
2.点击创建策略,弹窗中选择按标签创建;
3.填写基本信息中的策略名称和说明;
4.填写权限配置:
-选择标签:选择你需要的标签键值对,如果没有标签,可以选择点击还没有标签?点击创建标签链接跳转到标签管理;
-选择服务:选择已支持标签的服务类型,查看哪些产品线已支持基于标签的授权,具体可参考使用IAM的产品;
-选择操作:已选服务的权限操作,统一为只读、运维和管理权限;
-资源范围:展示已选择服务的资源列表,如未命中任何实际资源,则代表全局所有资源,在未来的时间范围内,如果你将当前标签关联到实际的资源实例,该资源实例将受到当前自定义策略的控制。
策略语法 编写策略语法,生成策略。
1. 登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
2. 点击创建策略,弹窗中选择按策略语法创建;
3. 填写基本信息中的策略名称和说明;
4. 填写权限配置:
-策略模板:选择已有系统策略模板
-策略内容:输入策略内容后点击完成
资源组 根据你在资源管理创建的资源分组筛选资源,生成策略。
1. 登录云控制台,鼠标移到右上角头像处,进入多用户访问控制>策略管理;
2. 点击创建策略,弹窗中选择按资源组创建;
3. 填写基本信息中的策略名称和说明;
4. 填写权限配置后确定创建成功。

用户授权

在用户管理->子用户管理列表页的对应子用户的操作列选择添加权限,并为用户选择系统权限或自定义策略进行授权。

说明: 如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

相关服务授权

为使子用户能够正常使用BMR服务,还需要为其授予百度智能云内其他相关服务的权限,相关服务的权限策略及影响范围如下:

表四 相关服务权限策略及影响范围

相关服务策略名称 描述 影响范围
FCOrderAccessPolicy 完全控制订单服务权限 查看集群和创建集群
VpcFullControlPolicy 完全控制VPC服务权限 创建集群
SubnetFullControlPolicy 完全控制子网服务权限 创建集群
BosFullAccessPolicy 完全控制BOS服务权限 创建集群时,选择将日志存储在BOS中
SecurityGroupFullController 完全控制安全组服务权限 创建集群时,选择将日志存储在BOS中

上一篇
实践操作
下一篇
用户管理