You need to enable JavaScript to run this app.
导航
权限管理概述
最近更新时间:2023.06.12 10:42:30首次发布时间:2022.05.12 11:56:49

权限管理就是对子用户的权限进行管理。本文档介绍子用户的概念以及如何管理子用户的权限。

主账号和子用户

当您在火山引擎注册后,系统为您创建了一个主账号。主账号具有管理火山引擎云资源的所有权限。如果您有用户需要对指定云资源进行特定的操作,您可以创建子用户账号,并授予相应的权限。当子用户使用自己的账号访问火山引擎时,子用户就能对有权限访问的云资源进行操作了。在火山引擎中,子用户也称为 IAM 用户。IAM 的英文全称是 Identity and Access Management。

说明

如果子用户在使用云资源时产生了费用,这些费用会汇总到主账号。

子用户权限

您可以授权子用户操作特定的云资源,以满足以下要求:

  • 隔离子用户之间的操作。
  • 控制对敏感数据的访问。

您可以对子用户授予以下权限:

  • 是否允许子用户登录火山引擎管理控制台。
  • 是否生成 API 访问的密钥。
    • 密钥包括 AccessKey ID 和 AccessKey Secret。
    • 用户向内容分发网络发送的 API 请求中需要包含鉴权信息。鉴权信息中包含的签名是需要使用 AccessKey ID 和 AccessKey Secret 来计算的。参见请求鉴权

策略

您通过策略授予子用户权限。同时,您通过指定策略的作用范围来指定子用户可以操作的云资源。

策略内容

策略包含云产品的权限。策略可以包含一个云产品的权限,也可以包含多个云产品的权限。权限可以是一个云产品的部分权限或者所有权限。例如某个策略包含内容分发网络中与刷新与预热操作的权限。

策略类型

策略有以下类型:

  • 系统预设策略:每个火山引擎云产品都有一个或者多个的系统预设策略。这些系统预设策略针对常见的操作场景预设了权限,方便对子用户授权。例如 CDNDomainConfiguration 是一个系统预设策略。该策略包含了对加速域名进行配置的权限。
  • 用户自定义策略:如果系统预设策略不能满足您的需要,您可以创建权限的自定义组合。例如您可以创建一个用户自定义策略。该策略包含内容分发网络下的刷新操作以及证书上传操作的权限。

策略授权

通过将策略授权给子用户,使得子用户可以对云资源进行相应的操作。关于授权的具体步骤,参见授权子用户

策略授权有以下两种模式:

  • 全局授权:在您使用该模式将一个策略授予某个子用户后,该子用户就具有了该策略所包含的权限。同时,该子用户可以对主账号下所有适用的云资源都有这些权限。如果您只需要限制子用户的权限,但不需要限制子用户可以操作的云资源,可以使用该模式。
  • 项目授权:在该模式下,除了将策略授予子用户外,您还需要指定项目作为该策略的作用范围。在您授权子用户后,该子用户就具有了该策略所指定的权限。同时,该子用户仅可以对指定项目中的云资源进行操作。如果您既需要限制子用户的权限,又需要限制子用户可以操作的云资源,可以使用该模式。

全局授权举例
您将 CDNDomainConfiguration 以全局授权的模式授予一个子用户。在您授权子用户后,该子用户可以配置主账号下所有的加速域名。

项目授权举例 1
您有两个项目。projectA 包含的加速域名是 domainA。projectB 包含的加速域名是 domainB 和 domainC。您将 CDNDomainConfiguration 以项目授权的模式授予一个子用户。在您授权子用户时,您指定该策略的作用范围是 projectA 和 projectB。在您授权子用户后,该子用户可以对 domainA,domainB 和 domainC 进行配置。

项目授权举例 2
参见项目

项目

项目是火山引擎用来管理云资源的单元。同时,项目也是云资源的逻辑组合。项目的功能就像文件夹将云资源组织在一起,方便对云资源进行集中管理。每个您创建的云资源都必须包含在一个项目中。在创建一个云资源时,如果您不指定项目,该云资源会包含在 default 项目中。default 项目是系统创建的。您通过将策略授权到特定项目,指定子用户可以操作的云资源。

在内容分发网络中,所有的加速域名都是主账号下的云资源。当您创建一个加速域名时,该加速域名默认是包含在 default 项目中的。如果您仅需要子用户操作某些加速域名,您需要进行以下操作:

  1. 创建一个项目,然后将这些加速域名转移到该项目中。
  2. 通过项目授权的方式,将相应的策略授权给子用户。当您将策略授权给子用户时,指定该项目为这些策略的作用范围。

说明

一个云资源只能归属于一个项目,不能同时归属多个项目。

项目授权举例 2
假设您有以下场景:

  • 您有两个子用户:userA,userB。
  • 您希望 userA 能配置 domainA,domainB,domainC。您希望 userB 能配置 domainB,domainC,domainD。

此时,您可以创建以下项目:

  • projectA:包含 domainA。
  • projectB:包含 domainB,domainC。
  • projectC:包含 domainD。

当您将 CDNDomainConfiguration 以项目授权的模式授予 userA 时,指定作用范围是 projectA 和 projectB。当您将 CDNDomainConfiguration 以项目授权的模式授予 userB 时,指定作用范围是 projectB 和 projectC。

关于授权的具体步骤,参见授权子用户

相关文档

权限管理包含了以下文档。

文档
描述
创建子用户介绍如何创建子用户。包含在创建过程中授权子用户登录控制台以及为子用户创建 AccessKey ID 和 AccessKey Secret。
授权子用户介绍如何授权子用户对云资源进行操作。
使用子用户访问内容分发网络介绍如何使子用户访问内容分发网络。
系统预设策略介绍如何通过系统预设策略,授权子用户权限。
用户自定义策略介绍如果创建用户自定义策略,对权限进行定制化的组合。