背景说明
一般情况下,客户只需一个天翼云账号即可管理在天翼云上购买的全站加速资源。如果存在需要为企业内部的员工设置不同的访问权限,以达到不同员工之间权限隔离的效果,则可以使用天翼云CDN+统一身份认证服务(CDN+ Identity and Access Management,简称CDN+IAM)进行精细的权限管理。本文主要介绍相关操作步骤。
操作步骤
步骤一:登录CDN+IAM平台
1、平台登录入口:天翼云CDN+IAM。
2、进入账号登录界面,请单击【其他登录方式】里的第一个图标(如下图1),随即自动跳转到天翼云账号登录界面(如下图2),输入官网账号和密码后,单击【登录】。
步骤二:创建工作区
工作区是一个租户的概念,在工作区里可以共享合作,可实现团队管理,角色管理,子用户管理等操作。
完成登录CDN+IAM平台后,系统已为您创建了一个系统内置工作区。
若没有系统内置工作区,您可以自行创建工作区。操作方式为在界面右上角,单击【新增】。
工作区生成后,您可以直接单击【系统内置工作区】进入工作区,该工作区的所有者是您。
步骤三:创建团队子用户
为了让企业中的其他员工也可以访问全站加速服务控制台,您可以为他们创建子用户,子用户在工作区中创建,与工作区绑定。具体操作为:在【子用户管理】目录,单击【新增】,填写子用户相关基本信息后,单击【确定添加】,即可完成子用户新增。
完成创建子用户后,子用户可使用登录凭据和密码,登录:天翼云CDN+IAM。
说明创建的子用户默认只有CDN+IAM团队成员的权限,仅可以登录CDN+IAM和访问该工作区。如果您需要给子用户赋予更多的权限,则需要操作第四步。
步骤四:给子用户授权
您可以采用两种方式给子用户授权:
方式一:授权子用户CDN控制台内置角色
内置角色是指针对全站加速,平台依据多数客户对客户控制台的常用角色分配方式进行归类,已为您设置好的默认角色,目的是简化客户配置步骤,快速完成角色授权。
客户控制台已设置好的3种内置角色:
| 内置角色 | 角色描述 |
|---|---|
| CDN管理者 | 可进入客户控制台,并进行全站加速业务相关的操作。 |
| CDN参与者 | 可进入客户控制台,进行一般的查询操作。 |
| CDN只读角色 | 可查看域名基础信息以及统计分析数据。 |
内置角色的授权有如下优缺点:
- 优点:配置简单,可快速完成角色添加。
- 缺点:权限相对简洁和粗粒度,没有精确到具体动作和资源。
内置角色的授权方法:
1、进入工作区的【团队管理】界面,找到您要授权的子用户,单击操作中的【配置】按钮。
2、单击【备选角色】,在搜索框输入您需要为子用户新增的内置角色(CDN管理者、CDN只读角色、CDN参与者,按实际权限管理需要进行添加),并单击【增加】。
3、内置角色添加完成后,可通过【现有角色】查询已添加的角色。如果您不想要该角色,可直接单击【删除】,之后再重复步骤增加新的角色。
说明三个默认内置角色的权限优先级:CDN管理者>CDN参与者>CDN只读角色,如果同时配置了某两个或三个角色,系统会按实际添加的角色进行生效。
方式二:授权子用户工作区定制化角色
该方式授权较为精细,粒度到动作+资源。由于该自定义角色的方式使用的客户少且配置相对复杂,如果您有需要,可通过提交工单给天翼云客服,由其人工为您创建和添加对应角色。
其他说明
IAM同时提供了工作区相关的内置角色,您也可以给您的子用户添加相关工作区权限。
| 内置角色 | 角色描述 |
|---|---|
| 基础管理 | 可进行工作区的基本管理,包括修改基本信息,管理频道。 |
| AccessKey管理 | 成员使用AccessKey通过 API 或其他开发工具访问系统,您可以查看并处理AccessKey接入情况。 |
| 团队成员 | 可进行工作区的一般操作,如业务查询等操作。 |
| 团队管理 | 可进行工作区的团队管理,包括团队成员的邀请,删除,角色设置等。 |
| 权限管理 | 可进行工作区的权限管理,包括新增/删除角色,定制角色权限策略等操作。 |
