多用户访问控制
基本概念
文件存储CFS已经接入了百度智能云IAM平台,用户可以在IAM平台创建子用户,对云上业务进行细粒度管理和使用。
百度智能云IAM子用户有如下特点:
- 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源,但计费主体依然是主用户。
- 子用户可以独立使用管理控制台和API。
- 主用户可以对子用户进行授权,在IAM里授权是通过给子用户关联策略来完成的,一个子账号可以关联多个策略。
IAM子用户应用场景
用户可以在百度智能云上通过主子用户体系,灵活使用CFS资源。
-
企业子用户管理与分权
企业A使用百度智能云账号购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...),A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的密钥直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。
-
企业之间的资源操作与授权管理
A和B代表不同的企业。A购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工,即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。
策略说明
CFS在云上提供了系统策略和自定义策略两种策略模式。
系统策略,主用户对子用户授予后,子用户可对主用户名下所有CFS资源进行相应的操作能力,共有如下三种系统策略:
- CFSFullControlAccessPolicy:管理百度智能云文件存储服务(CFS)的权限。
- CFSOperateAccessPolicy:运维百度智能云文件存储服务(CFS)的权限。
- CFSReadOnlyAccessPolicy:只读百度智能云文件象存储服务(CFS)的权限。
三种系统策略对应的权限,与CFS的API对应关系如下:
| 系统策略 | 可操作API |
|---|---|
| 管理 | CFS所有API |
| 运维 | Updatefilesystem Describefilesystem Creatmounttarget Deletemounttarget Describemounttarget |
| 只读 | Describefilesystem Describemounttarget |
自定义策略,主用户可以按Region、按细粒度资源为子用户授权。可授予以下两种权限类型:
| 自定义策略 | 可操作API |
|---|---|
| 运维 | Updatefilesystem Describefilesystem Creatmounttarget Deletemounttarget Describemounttarget |
| 只读 | Describefilesystem Describemounttarget |
操作步骤
-
策略创建
进入“管理控制台”,选择“多用户访问控制”
选择“策略管理”,搜索CFS,可以看到CFS相关系统策略。
当预期使用自定义策略时,进入策略管理页面,选择“创建策略”。
在自定义策略创建页面,为该自定义策略命名之后,需要筛选“服务类型”为CFS,并为预期授权的实例选择对应的权限。
在资源选择方面,主用户可在列表中查看目前已创建的CFS实例,并选择预期授权的实例。
之后,在自定义策略列表中,即可看到新创建的自定义策略了。
注意:在使用CFS产品时,如果需要为CFS实例添加/修改挂载点时,会需要用户从名下已有的VPC、子网的列表中进行筛选,作为挂载点的挂载信息。因此,当主用户为子用户授予具有管理、运维权限的系统策略或自定义策略时,也需同时在百度智能云IAM平台为该子用户授予对VPC、子网产品具有只读或更高权限的策略。
-
为子用户授权
当策略创建完成后,即可为子用户授予策略。
在“用户管理”页签为子用户添加权限。
选择“系统策略”或“自定义策略”,获取相应策略列表,选择希望授予子用户的权限,点击“确定”即可将权限赋予子用户。
删除子用户授权:点击用户名,进入“子用户详情页面”,“权限信息”处可以看到此用户拥有的权限,点击“删除”可以将此权限从用户权限中去掉
