概述
云原生网关目前已接入主子账号体系,通过主账号对子账号并对其分配访问权限,用户可以实现对企业中云服务和资源的访问及操作权限,避免账号滥用。主子帐号支持数据权限管理与功能权限管理,支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系进行权限管理。
术语解释
主账号 :用户在天翼云注册后自动创建,该账号对其所拥有的资源具有完全的访问权限,可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源,由于账号是付费主体为了确保账号安全,建议创建子用户来进行日常管理工作。
子账号 :主账号认证为企业账号后,在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台,登录入口与主账号相同,受主账号赋予的权限限制。
企业项目: 将云资源、企业成员按项目进行管理,通过企业项目将云资源、带有权限的用户组绑定到一起,用户使用项目内云资源的权限受用户组的授权限制。
说明一个实例只能归属一个企业项目(可变更),一个子账号可以同时在多个企业项目中。
策略: 是描述一组权限集的语言,它可以精确地描述被授权的资源集和操作集,通过策略,用户可以自由搭配需要授予的权限集。通过给用户组授予策略,用户组中的用户就能获得策略中定义的权限。
系统策略: 系统预置的常用权限集,主要针对不同云服务的只读权限或管理员权限,比如对组件的只读权限、普通用户权限和管理员权限等等;系统策略只能用于授权,不能编辑和修改。
云原生网关中提供了两种系统策略:cgw viewer只读权限,只能对实例资源进行读操作;cgw admin管理权限,可以对实例资源进行管理维护,包括读与写操作,等同于主账号访问权限。
自定义策略: 创建自定义策略可以支持更细粒度的授权,对于云原生网关,可以自定义功能访问权限以及资源访问权限。
数据权限: 看到的数据不一样。主账号看到所有实例,子账号只能看到所属项目中的实例。
功能权限: 主账号可以进行所有控制台操作,子账号对单个组件实例拥有的操作权限由主账号授权。
功能权限授权: 给子账号在企业项目A下增加一个策略,即代表该子账号对企业项目A下的实例拥有了策略中定义的权限,策略以外的操作会被禁止。