使用场景

当内置角色的权限不能满足用户授权需求时，可创建定制角色后，给子用户赋予定制角色。

操作流程

新建子用户

方式一：手动新增

1. 登录CDN+平台，并进入需要进行共享的工作区。

   

2. 进入子用户管理菜单，左上角点击【新增】按钮。

   

3. 输入子用户的基本信息，包括登录凭据、显示名称、用户邮箱（非必填）、用户手机（非必填）、登录密码，通过验证码检验之后即可完成添加。完成子用户添加后，如您已创建好定制角色，您可立即添加角色；如未创建定制角色，需先进行角色创建。

   

方式二：批量导入

您可以创建并管理自己的 Ldap 服务器，配置 Ldap 可实现子账号的批量导入。操作步骤参考：基本配置-Ldap 管理、批量导入子用户。

创建定制角色

1. 进入角色管理页面，点击【新增】按钮。

2. 设置角色名称、类型、描述、Allow/Deny策略。

   注意
   1、AOne边缘安全加速平台定制角色的权限策略未区分管理者、参与者，两者无差异。
   2、Allow/Deny策略需要跟权限策略中规则的策略模式搭配使用，如无复杂场景，保持默认即可。
   

   

3. 进入权限策略页面，点击【新增】按钮，进入新增策略页面。在搜索栏过滤边缘安全加速平台，即可查看AOne边缘安全加速平台所有的权限策略。

   

4. 选择需要为子用户赋予的权限，点击创建策略即可。

说明
1、创建策略“所有权限”后，即拥有与内置角色“边缘安全加速平台管理者”相同的权限，无需再创建其他策略。
2、若未创建”所有权限”策略，“平台最小权限（必选）”、“资源最小权限（必选）”策略必须创建，否则无法进入控制台页面，也无法查看任何域名资源。
3、动作具有层级关系，创建上层策略，即自动包含下层所有策略权限，无需再添加下层其他策略。如果只需下层某一策略权限，则不可创建其上层策略。但“安全与加速菜单”除外。“安全与加速菜单”策略由于历史兼容原因，不包含下层策略权限。
4、2024年5月30日凌晨，新增了“资源最小权限 （必选）”及“安全与加速服务可编辑权限”。在此时间之前创建的定制角色，请手动创建该两项策略，否则将影响原来赋予该角色子用户的正常使用。为此带来不便，深表歉意。

典型配置场景：添加定制角色，只允许访问安全与加速服务，但不允许编辑

新增策略列表：

平台最小权限（必选）

资源最小权限 （必选）

安全与加速菜单-总览

安全与加速菜单-域名

安全与加速菜单-加速

安全与加速菜单-安全

安全与加速菜单-工具

安全与加速菜单-运营管理

安全与加速菜单-计费

典型配置场景：添加定制角色，只允许访问零信任服务，允许编辑

新增策略列表：

平台最小权限（必选）

资源最小权限 （必选）

零信任菜单

典型配置场景：添加定制角色，允许访问所有菜单，允许编辑，但限制可管理的安全与加速服务域名

新增策略列表：

平台最小权限（必选）

资源最小权限 （必选）

安全与加速服务可编辑权限

所有菜单权限

限制可管理的安全与加速服务域名：

1. 添加资源最小权限 （必选）后，返回策略列表，找到accessone_domain策略。

2. 进入设置页面，服务资源默认为workspace，代表所有域名资源。点击修改后，选择要赋予的域名对象。

说明
1、资源菜单具有层级关系，选择上层资源，自动包含下层资源，无需再次选择下层资源。
2、如需选择多项资源，需要创建多条“资源最小权限 （必选）”策略，再对每条规则设置服务资源。

为子用户添加定制角色

方式一：从子用户管理页面配置权限

1. 进入子用户管理页面，选择对应子用户，点击【配置权限】。

2. 平台默认会为子用户赋予团队成员角色，您可在备选角色中，快速过滤角色名称，选择您要为子用户赋予的定制角色，点击【增加】即可。

方式二：从角色管理页面添加成员

1. 进入角色管理页面，在顶部搜索栏快速过滤边缘安全加速服务、定制角色。

   

2. 选择对应角色，点击【管理】，在备选成员中选择子用户进行授权。