需求场景
AOne边缘安全加速平台包含多种服务,如安全与加速、边缘接入、零信任、开发者平台等;同时某些服务(如安全与加速),还可能涉及不同的域名资源。
某些用户场景,需要多个可访问AOne平台控制台的账号,并且针对不同的账号设置不同访问的权限,常见的需求包括:
- 添加子用户A,具有AOne所有的访问、编辑权限(所有菜单、所有域名)。
- 添加子用户B,只具有AOne安全与加速服务控制台的访问权限,不可访问零信任、边缘接入等其他服务控制台。
- 添加子用户C,只具有AOne安全与加速服务控制台的可查看权限,不具备编辑权限。
- 添加子用户D,只具有AOne安全与加速服务控制台部分域名的配置权限,不可查看、配置其他域名资源。
- ……
总结:用户需要能够设置不同角色,从子用户可访问的菜单、子用户可访问的域名、子用户的可读/可写权限三个维度进行授权。
最佳实践
AOne边缘安全加速平台已对接CDN+ IAM组件,可实现在CDN+平台的工作区创建子用户,并为子用户分配不同的角色。
AOne边缘安全加速平台包含两种内置角色,内置角色的权限策略用户不编辑,此外支持定制角色实现更复杂的访问控制场景。
| 内置角色 | 角色说明 |
|---|---|
| 边缘安全加速平台管理者 | 最高权限,具备该角色的用户可查看配平台所有菜单、所有域名,并且具备编辑权限。 |
| 边缘安全加速平台参与者 | 查看权限,具备该角色的用户可查看平台所有菜单、所有域名,但是不具备安全与加速服务控制台的编辑权限。 |
说明边缘安全加速平台参与者角色,当前仅针对安全与加速服务控制台的可编辑权限进行了限制,其余服务控制台暂未进行限制,仍具备编辑权限。
当内置角色的权限能够满足用户授权需求时,可直接给子用户赋予内置角色。操作步骤参考:新增子用户关联内置角色。
当内置角色的权限不能满足用户授权需求时,可创建定制角色后,给子账号赋予定制角色。操作步骤参考:新增子用户关联定制角色。
