多用户访问控制

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
所有文档
menu
没有找到结果,请重新输入

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
  • 文档中心
  • arrow
  • 相关参考Reference
  • arrow
  • 证书管理
  • arrow
  • 多用户访问控制
本页目录
  • 介绍
  • 创建用户
  • 配置策略
  • 用户授权
  • 子用户登录

多用户访问控制

更新时间:2025-08-22

介绍

多用户访问控制,主要用于帮助用户管理云账户下资源的访问权限,适用于企业内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。

适用于下列使用场景:

  • 中大型企业客户:对公司内多个员工授权管理;
  • 偏技术型vendor或SAAS的平台商:对代理客户进行资源和权限管理;
  • 中小开发者或小企业:添加项目成员或协作者,进行资源管理。

创建用户

  1. 主账号用户登录后在控制台选择“多用户访问控制”进入用户管理页面。

  2. 在左侧导航栏点击“用户管理”,在“子用户管理列表”页,点击“新建用户”。
  3. 在弹出的“新建用户”对话框中,完成填写“用户名”和确认,返回“子用户管理列表”区可以查看到刚刚创建的子用户。

配置策略

证书管理支持系统策略和用户自定义策略两种,分别实现证书的产品级权限和实例级权限控制。

  • 系统策略:百度智能云系统为管理资源而预定义的权限集,有产品级别的只读和运维权限,这类策略可直接为子用户授权。用户只能使用而不能修改。
  • 自定义策略:由用户自己创建,更细化的管理资源的权限集,可以针对单个证书进行配置权限,更加灵活的满足账户对不同用户的差异化权限管理。

系统策略

系统策略为证书产品级权限,包含产品级运维权限和产品级只读权限两种系统策略,权限范围详细如下:

策略名称 权限说明 权限范围
CASWritePolicy 产品级运维权限 包括上传证书、修改证书名、获取证书详情列表、获取证书列表、获取证书信息、获取证书详情、获取证书关联的服务列表、获取证书关联的资源数量、获取证书域名列表的权限。
CASReadPolicy 产品级只读权限 包括获取证书详情列表、获取证书列表、获取证书信息、获取证书详情、获取证书关联的服务列表、获取证书关联的资源数量、获取证书域名列表的权限。

自定义策略

自定义策略是从实例维度进行授权,与系统策略不同,只对选定的实例生效。

子用户通过点击“创建策略”,填写策略名称并选择服务类型为“SSL证书服务 CAS”添加自定义策略来进行实例级权限控制,其中策略生成方式默认为策略生成器,不需要修改,用户可以根据具体的权限设置修改策略内容;选择完权限后,勾选可操作的证书即可创建完成。

自定义权限范围详细如下:

权限说明 权限范围
实例级管理权限 包括删除证书、修改证书名、获取证书列表、获取证书信息、获取证书详情、获取证书关联的服务列表、获取证书关联的资源数量和获取证书域名列表的权限。
实例级运维权限 包括修改证书名、获取证书列表、获取证书信息、获取证书详情、获取证书关联的服务列表、获取证书关联的资源数量和获取证书域名列表的权限。
实例级只读权限 包括获取证书列表、获取证书信息、获取证书详情、获取证书关联的服务列表、获取证书关联的资源数量和获取证书域名列表的权限。

说明:

  • 实例级权限由于是针对特定证书的权限,所以无法上传证书。
  • 由于部分用户证书数量过多(上千),所以获取证书列表接口不批量鉴权,而是每次列出全量。
  • 只有拥有产品级权限的人,才能访问获取证书详情列表;拥有实例级权限的人,只能访问证书列表和单个证书详情。

用户授权

  1. 在“用户管理->子用户管理列表页”的对应子用户的“操作”列选择“添加权限”,并为用户选择系统权限或自定义策略进行授权。

    说明:如果在不修改已有策略规则的情况下修改某子用户的权限,只能通过删除已有的策略并添加新的策略来实现,不能取消勾选已经添加过的策略权限。

子用户登录

主账号完成对子用户的授权后,可以将链接发送给子用户;子用户可以通过IAM用户登录链接登录主账号的管理控制台,根据被授权的策略对主账户资源进行操作和查看。

其他详细操作参考:多用户访问控制。

上一篇
API SDK
下一篇
管理证书