用户管理
IAM用户管理分为两部分,即子用户管理和消息接收人管理:
- 通过使用子用户管理,你可以创建并管理账户下的子用户,规定子用户访问云账户内资源的形式,为子用户授予必要的资源访问权限,以及决定是否通过MFA的手段强制要求子用户使用多因素认证等,子用户默认具备消息接收人功能;
- 通过使用消息接收人管理,你可以创建并管理账户下的消息接收人,消息接收人在接收来自账户的消息通知前,需要通过验证,以防消息的滥发;
子用户管理
创建子用户
- 登录百度智能云管理控制台,鼠标移动到右上角头像,下拉列表选择多用户访问控制 > 用户管理 > 子用户, 点击创建子用户。
-
如果用户名,备注(可选)字段,你可以选择该子用户访问云账户资源的方式:
- 编程访问:授权子用户可通过编程方式访问云资源,系统默认为该子用户生成一对有效的AccessKey和SecretKey,用于调用智能云的API或通过SDK管理或使用云资源;
- 控制台密码访问:授权子用户可通过控制台登录云账户,可以选择创建全新的密码、系统自动生成密码以及绑定百度内网账号的方式设置密码。你还可以选择要求首次登录用户必须修改密码。
通常情况下,你只需要为子用户指定一种云资源的访问方式,你也可以为同一子用户同时指定2种访问方式。在后续的操作中,你也可以随时取消子用户对账户的访问。
- 在快速授权选项,你可以选择是否为子用户快速授权系统管理员权限,勾选后,该子用户将拥有该账户下所有云资源的管理权限,通常用于快速为团队创建云管理员。
设置子用户密码
为新建的子用户设置登录密码,子用户登录的两种选择:
- 方式一:推荐方式,使用设置的用户名+设置的密码,进行登录操作;
- 方式二:绑定百度账号,使用百度账号+对应的账号密码,进行登录操作;
- 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中,选择子用户点击设置或修改进行密码的设置和修改,出现“设置密码”弹框。设置成功后,用户可以通过该【用户名】和【密码】进行登录。
- 你可以选择勾选“要求用户下次登录时必须重置密码”,则子用户在下次登录时,系统会要求子用户重设密码。
- 你也可以选择“绑定内网账号”,选择“百度账号”,子用户登录时,使用百度账号和该账号的密码进行登录。
管理子用户信息
- 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中,直接点击用户名或者管理,进入子用户详情页。
- 修改子用户基本信息。
子用户双因素认证
双因素验证是一种简单有效的安全认证方法。它能够在用户名和密码之外,再增加一次额外的验证方式,通常使用短信验证码或是基于TOTP协议的一次性软件动态码的形式进行验证。
目前双因素认证可以提供登录保护和操作保护,分别对子用户的登录行为,和其对云资源的操作行为进行二次验证。详情请参考双因素验证。
管理子用户AccessKey
管理AccessKey:您可以根据实际情况删除或者新建AccessKey。子用户最多可以同时拥有20对AccessKey和SecretKey,但建议你只保存和使用2对,用于轮换。你可以删除最后一对AccessKey,以取消子用户对云资源的编程访问。
建议定期刷新AccessKey,以保证账户安全。
子用户授权
管理权限信息:在“权限信息”栏,您可以根据实际情况添加或删除子用户的权限。你可以为同一子用户授予多种服务、不同的资源访问权限。
管理子用户API Key
在AccessKey和SecretKey认证机制之外,IAM为开发者用户提供了API Key认证机制,子用户可以使用API Key直接使用千帆ModelBuilder、AppBuilder、AI开放平台内的服务能力,详细可见API Key简介。
作为管理员用户,你可以直接管理子用户的API Key,包含其生命周期的管理,以及Key权限的管理。当前1个子用户最多可以拥有200个API Key。
子用户操作日志
操作日志:目前已记录到云审计产品,点击查看会跳转到云审计页面。
删除子用户
在多用户访问控制 > 用户管理 > 子用户菜单子用户列表中,选择对应的子用户,点击删除,弹窗确认后可进行删除
注意:删除子用户后,子用户对应的权限、密码也会随之删除,将无法恢复,所以在未能明确不需要子用户时,建议使用子用户的禁用功能。
禁用子用户
在某些场景下,你需要临时禁用子用户对云资源的访问权限,此时你可以使用子用户禁用功能。在“用户管理”的“子用户”页签中,选择对应的子用户,点击禁用,即可禁止该子用户使用。后续你也可以重新激活该子用户,恢复其访问权限。
禁用效果:子用户无法登录控制台,无法通过子用户的AKSK,API Key调用云账户的API。
主账号别名设置
您可以为主账号设置便于记忆的别名,以简化子用户登录链接和子用户登录时输入的主账号信息。
- 在多用户访问控制 > 用户管理 > 子用户菜单子用户列表上方,点击”自定义“进行修改。
- 输入自定义的主账号别名,点击确定并完成绑定手机的安全验证。
- 修改完成后,子用户登录链接将进行简化,同时子用户登录时可输入主账号别名即可。
消息接收人管理
概述
消息接收人为用户的一种类型,它无法登录百度智能云控制台或者进行编程访问,仅可以通过主用户或管理员子用户设置用于接收来自账户的消息。
历史说明
原用户中心联系人管理迁移到多用户访问控制 > 用户管理 > 消息接收人进行统一管理。
创建消息接收人
- 登录百度智能云管理控制台,选择多用户访问控制。
-
选择用户管理 > 消息接收人,点击创建消息接收人。
注意:在同一账户下,消息接收人和子用户的用户名唯一;请填写有效的手机、邮箱,确保可以接收到消息通知,以验证消息接收人身份。
验证消息接收人
在接收来自账户的消息之前,消息接收人需要主动接收来自账户管理员发送的邀请:
- 成功创建消息接收人,系统会自动发送短信和邮箱邀请给对应的消息接收人;
- 你也可以在消息接收人列表中,通过查看消息接收人的短信/邮箱状态,确认其是否验证通过,对于未验证通过的用户,可以重发验证;
- 消息接收人会通过短信或邮件的形式接收到来自账户的邀请,点击邀请链接,即可完成对其联系方式的验证。
为消息接收人订阅消息
点击管理,选择编辑,进入消息中心,为消息接收人设置订阅消息。
将消息接收人加入用户组
可以将消息接收人加入用户组,用户统一订阅消息,例如,可以在云监控BCM中设置用户组成员作为报警接收人等。
注意:消息接收人可以添加到用户组,权限策略对消息接收人不生效,如果希望一个用户可以拥有权限策略同时可以作为消息接收人,推荐使用用户管理 > 子用户。