多用户访问控制
简介
多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。
适用于下列使用场景:
- 中大型企业客户:对公司内多个员工授权管理;
- 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
- 中小开发者或小企业:添加项目成员或协作者,进行资源管理。
多用户访问控制包含以下几个流程:
- 创建子用户
- 配置策略
- 为子用户授权系统权限
- 子用户登录控制台
详细的操作步骤请参见多用户访问控制一般操作步骤
创建子用户
-
主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。
- 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
- 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。
权限策略配置
权限策略表示的是“允许/拒绝对某资源执行某种操作”,通过将策略授予用户可以使用户拥有相应权限。目前百度智能云支持系统策略和自定义策略两种权限策略,两者主要区别在于资源的配置。
- 系统策略对主用户的所有云数据库 TableStorage 资源生效,用户不能随意修改。
- 自定义策略中,用户可以指定任一实例级别的资源,实现更细粒度的资源配置。
操作权限说明
目前云数据库 TableStorage 提供三种操作类型,对应权限如下表所示:
| 操作类型 | 实例操作权限 | 表操作权限 | 行操作权限 | 回收站 |
|---|---|---|---|---|
| 管理操作 | ||||
| 运维操作 | ||||
| 只读操作 |
系统策略
系统策略是云数据库 TableStorage 定义好的策略,可以指定对主用户拥有的全部实例的操作权限。云数据库 TableStorage 目前提供了三种系统策略,分别对应三种操作类型:
| 策略名称 | 操作类型 |
|---|---|
| BTSFullControlPolicy | 管理操作 |
| BTSOperatePolicy | 运维操作 |
| BTSReadPolicy | 只读操作 |
云数据库 TableStorage 的配置查看方法如下:
-
进入“管理控制台”,选择“多用户访问控制”。
-
选择“策略管理”,搜索BTS,可以看到云数据库 TableStorage 相关策略。
自定义策略
自定义策略由主用户自己定义,可以精确指定对主用户拥有的任一实例的操作权限。配置自定义策略的步骤如下:
-
进入策略管理页面,选择“创建策略”。
-
“基本信息”中的内容由用户自己定义。
- 权限配置:“服务类型”选择“百度智能云表格存储BTS”。
- 操作类型:期望授予子用户的操作权限,目前只提供“只读操作”和“运维操作”。
- 资源选择:需要先选择资源所在区域,选择好区域之后会出现实例列表,选择希望给子用户的实例(可多选),点击页面下方的“完成”按钮即可完成策略配置
-
返回“策略管理”页面,选择“自定义策略”就可以在列表中看到刚才创建的策略了。
子用户授权
-
在“用户管理”页签为子用户添加权限。
-
选择“系统策略”或“自定义策略”,获取相应策略列表,选择希望授予子用户的权限,点击“确定”即可将权限赋予子用户。详细策略配置可参见权限策略配置。
-
删除子用户授权:点击用户名,进入“子用户详情页面”,“权限信息”处可以看到此用户拥有的权限,点击“删除”可以将此权限从用户权限中去掉。
子用户访问
主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。
