本章介紹(shao)如何(he)使用主子賬(zhang)號(hao)體系管(guan)理子賬(zhang)號(hao)權限

概述

分布式(shi)消(xiao)息服務(wu)MQTT已接入主子(zi)(zi)賬(zhang)號(hao)體系(xi)，可區分兩種(zhong)賬(zhang)號(hao)權(quan)限(xian)，實現主賬(zhang)號(hao)對子(zi)(zi)賬(zhang)號(hao)的(de)數(shu)據權(quan)限(xian)管(guan)理與(yu)功能權(quan)限(xian)管(guan)理，支持系(xi)統(tong)策(ce)略和自定義(yi)策(ce)略的(de)授權(quan)方(fang)式(shi)。本章介紹如何使用(yong)主子(zi)(zi)賬(zhang)號(hao)體系(xi)管(guan)理子(zi)(zi)賬(zhang)號(hao)權(quan)限(xian)。

背景

1. 主賬號(hao) ：用戶(hu)在天翼云注冊后自動創建，該賬號(hao)對其(qi)所(suo)擁(yong)有的資源(yuan)具有完全(quan)的訪(fang)問權限，可以(yi)重置用戶(hu)密碼、分(fen)配用戶(hu)權限等。如果需要多人共(gong)同使(shi)用天翼云資源(yuan)，由于(yu)賬號(hao)是(shi)付費主體為了確(que)保賬號(hao)安全(quan)，建議創建子用戶(hu)來進行日常管(guan)理工作。

2. 子賬(zhang)(zhang)(zhang)號(hao)(hao) ：主賬(zhang)(zhang)(zhang)號(hao)(hao)認證(zheng)為(wei)企業賬(zhang)(zhang)(zhang)號(hao)(hao)后，在天翼云用戶中心頁面創建出來的賬(zhang)(zhang)(zhang)號(hao)(hao)。子賬(zhang)(zhang)(zhang)號(hao)(hao)的用戶名、密(mi)碼統一由主賬(zhang)(zhang)(zhang)號(hao)(hao)創建管(guan)理。子賬(zhang)(zhang)(zhang)號(hao)(hao)同(tong)樣(yang)可以登錄訪問天翼云控(kong)制臺，登錄入口與主賬(zhang)(zhang)(zhang)號(hao)(hao)相(xiang)同(tong)，受主賬(zhang)(zhang)(zhang)號(hao)(hao)賦予(yu)的權限(xian)限(xian)制。

3. 企(qi)(qi)業項(xiang)目： 將(jiang)云資(zi)源(yuan)、企(qi)(qi)業成員按項(xiang)目進行管理，通(tong)過企(qi)(qi)業項(xiang)目將(jiang)云資(zi)源(yuan)、帶有權限的用(yong)(yong)戶(hu)組(zu)綁(bang)定到一(yi)起，用(yong)(yong)戶(hu)使用(yong)(yong)項(xiang)目內云資(zi)源(yuan)的權限受用(yong)(yong)戶(hu)組(zu)的授權限制。

注意

一(yi)(yi)個(ge)(ge)(ge)實例(li)只能歸屬一(yi)(yi)個(ge)(ge)(ge)企(qi)業項(xiang)目(mu)（可變更），一(yi)(yi)個(ge)(ge)(ge)子賬號可以同時在多個(ge)(ge)(ge)企(qi)業項(xiang)目(mu)中(zhong)。

4. 策略： 是(shi)描述一組權(quan)限集(ji)(ji)的(de)語(yu)言(yan)，它可以精確地描述被授權(quan)的(de)資(zi)源集(ji)(ji)和操作集(ji)(ji)，通過(guo)策略，用(yong)戶可以自由搭配需要(yao)授予的(de)權(quan)限集(ji)(ji)。通過(guo)給用(yong)戶組授予策略，用(yong)戶組中(zhong)的(de)用(yong)戶就能(neng)獲得策略中(zhong)定義(yi)的(de)權(quan)限。

5. 系(xi)統策(ce)(ce)略(lve)： 系(xi)統預置的(de)常用(yong)權(quan)(quan)限(xian)(xian)集，主要針(zhen)對不同云服務的(de)只(zhi)讀權(quan)(quan)限(xian)(xian)或管(guan)(guan)理員(yuan)(yuan)權(quan)(quan)限(xian)(xian)，比如對組件的(de)只(zhi)讀權(quan)(quan)限(xian)(xian)、普(pu)通用(yong)戶權(quan)(quan)限(xian)(xian)和管(guan)(guan)理員(yuan)(yuan)權(quan)(quan)限(xian)(xian)等(deng)等(deng)；系(xi)統策(ce)(ce)略(lve)只(zhi)能(neng)(neng)用(yong)于(yu)授權(quan)(quan)，不能(neng)(neng)編輯和修改。

6. 數(shu)據(ju)權限(xian)： 看(kan)到的數(shu)據(ju)不一(yi)樣。主(zhu)賬(zhang)號看(kan)到所有實例，子賬(zhang)號只能看(kan)到所屬項目中的實例。

7. 功能權限： 主賬(zhang)號(hao)(hao)可以進行所有控(kong)制臺操作，子賬(zhang)號(hao)(hao)對單個組件實例擁有的操作權限由主賬(zhang)號(hao)(hao)授權。

8. 功能權(quan)限(xian)授權(quan)： 給(gei)子賬號在企(qi)業項目(mu)A下增加(jia)一(yi)個策略(lve)，即(ji)代(dai)表(biao)該子賬號對企(qi)業項目(mu)A下的(de)實例擁(yong)有了策略(lve)中(zhong)定義(yi)的(de)權(quan)限(xian)，策略(lve)以外的(de)操作(zuo)會被禁(jin)止(zhi)。

數據權限控制

數據權(quan)限的(de)(de)(de)權(quan)限碼(ma)為統一值instance-list，策略(lve)中包含instance-list的(de)(de)(de)權(quan)限碼(ma)才(cai)具(ju)備查看(kan)(kan)實例(li)的(de)(de)(de)權(quan)限。如果在用(yong)(yong)(yong)戶(hu)(hu)組直接授(shou)(shou)權(quan)包含instance-list的(de)(de)(de)策略(lve)，則該(gai)用(yong)(yong)(yong)戶(hu)(hu)組的(de)(de)(de)子(zi)用(yong)(yong)(yong)戶(hu)(hu)能看(kan)(kan)到(dao)(dao)所有實例(li)。如果在企(qi)業項目中的(de)(de)(de)用(yong)(yong)(yong)戶(hu)(hu)組授(shou)(shou)權(quan)包含instance-list的(de)(de)(de)策略(lve)，則該(gai)用(yong)(yong)(yong)戶(hu)(hu)組的(de)(de)(de)子(zi)用(yong)(yong)(yong)戶(hu)(hu)只(zhi)能看(kan)(kan)到(dao)(dao)該(gai)企(qi)業項目下的(de)(de)(de)實例(li)。

操作步驟：

1. 進入(ru)IAM管(guan)理頁面(mian)：

• 登錄天翼(yi)云官網，鼠標(biao)懸(xuan)浮至右上(shang)角(jiao)個人信息(xi)，點擊個人信息(xi)進入賬號中心頁面。

• 在(zai)賬(zhang)號(hao)中心(xin)頁面中，點擊統一認證服務(wu)進入IAM管理(li)頁面。

2. 創建用戶組：

• 在(zai)IAM管理頁面中(zhong)，點(dian)擊左側菜單(dan)欄中(zhong)用(yong)戶組進入用(yong)戶組管理頁面。

• 在用(yong)戶組管(guan)理頁面中，點(dian)擊創建用(yong)戶組按鈕(niu)，在彈出框中填寫用(yong)戶組名稱與描述(shu)，點(dian)擊確定即可。

3. 創建子用戶：

• 在IAM管(guan)理頁(ye)面中，點擊左側菜單欄中用(yong)戶進入(ru)用(yong)戶管(guan)理頁(ye)面。

• 在用(yong)戶(hu)管理頁面中，點(dian)擊創(chuang)建用(yong)戶(hu)按鈕，進入創(chuang)建頁面。

• 在(zai)創建頁面(mian)中，首先需要配置(zhi)用(yong)戶(hu)基本(ben)信息(xi)。填(tian)寫用(yong)戶(hu)名稱、手機(ji)號、郵(you)箱和密碼(ma)等信息(xi)，點(dian)擊下一步加入用(yong)戶(hu)組。

• 在加入用(yong)戶組(zu)頁面，選擇對(dui)應的(de)用(yong)戶組(zu)，點擊添加按鈕加入已選用(yong)戶組(zu)，點擊下一步即可。

4. 創建企業項目：

• 在IAM管(guan)理頁面(mian)中，點擊左側菜單欄中企業項(xiang)目進(jin)入企業項(xiang)目管(guan)理頁面(mian)。

• 在企(qi)(qi)(qi)業項(xiang)目管(guan)理頁(ye)面中，點擊(ji)創(chuang)建企(qi)(qi)(qi)業項(xiang)目按鈕，在彈(dan)出框中填寫(xie)企(qi)(qi)(qi)業項(xiang)目名稱與描述，點擊(ji)確定即可。

5. 在(zai)企業項(xiang)目中添加用戶組：

• 在(zai)企業項目管(guan)理(li)頁(ye)面中，點擊企業項目的查看用(yong)戶組按鈕(niu)進入企業項目的用(yong)戶組管(guan)理(li)頁(ye)面。

• 在企業(ye)項目(mu)的(de)用戶(hu)(hu)組(zu)管(guan)理頁(ye)面(mian)中(zhong)，點擊設(she)置用戶(hu)(hu)組(zu)按鈕，彈(dan)出設(she)置用戶(hu)(hu)組(zu)彈(dan)框。

• 在彈出框(kuang)中，選擇用戶組(zu)再點擊(ji)>按鈕加入已(yi)選用戶組(zu)，最后(hou)點擊(ji)確定按鈕即可。

6. 對企業項(xiang)目(mu)中的用戶組(zu)設置策略：

• 在企業項目(mu)管理(li)頁(ye)面(mian)中(zhong)，點擊企業項目(mu)的查看用戶組按鈕進入企業項目(mu)的用戶組管理(li)頁(ye)面(mian)。

• 在(zai)企業(ye)項目(mu)的(de)用(yong)戶組管理頁面中(zhong)，點(dian)擊用(yong)戶組的(de)設置(zhi)策略按(an)鈕(niu)彈出設置(zhi)策略彈框(kuang)。

• 在彈出框中選擇對應策略(lve)，點擊>;按鈕加入已選策略(lve)，最后點擊確(que)定(ding)按鈕即(ji)可(ke)。

功能權限控制

主賬號對子賬號的(de)功(gong)能權(quan)限控制是通過給用戶組授權(quan)策(ce)略(lve)實現的(de)，策(ce)略(lve)包(bao)括系(xi)統策(ce)略(lve)和(he)自定(ding)義(yi)策(ce)略(lve)。策(ce)略(lve)中(zhong)可定(ding)義(yi)“允許”的(de)操(cao)作和(he)“拒絕(jue)”的(de)操(cao)作，“拒絕(jue)”的(de)優(you)先級大于(yu)“允許”。

操作步驟：

1. 進入IAM管理頁面：

• 登錄天翼(yi)云官網，鼠標(biao)懸浮(fu)至(zhi)右(you)上角個(ge)人(ren)(ren)信(xin)息(xi)，點擊“個(ge)人(ren)(ren)信(xin)息(xi)”進(jin)入賬號中心(xin)頁面。

• 在(zai)賬(zhang)號中心頁(ye)面(mian)中，點擊(ji)“統一(yi)認證(zheng)服務”進入IAM管理頁(ye)面(mian)。

2. 創建用戶組：

• 在(zai)IAM管理(li)頁面(mian)(mian)中(zhong)，點擊左側菜單(dan)欄中(zhong)“用(yong)戶組”進入(ru)用(yong)戶組管理(li)頁面(mian)(mian)。

• 在用戶組管理頁面中，點(dian)(dian)擊“創建用戶組”按鈕，在彈出框(kuang)中填(tian)寫(xie)用戶組名(ming)稱與描述，點(dian)(dian)擊確定即(ji)可。

3. 創建子用戶：

• 在IAM管理(li)頁面中，點擊左(zuo)側菜單欄中“用戶”進入用戶管理(li)頁面。

• 在用(yong)戶管理頁面中，點擊“創(chuang)建用(yong)戶”按鈕(niu)，進入創(chuang)建頁面。

• 在(zai)創建(jian)頁面中，首(shou)先需(xu)要配(pei)置用戶(hu)基本信息。填(tian)寫用戶(hu)名稱、手機號、郵箱和密碼等信息，點擊下一步(bu)加入用戶(hu)組。

• 在加入用(yong)戶組(zu)(zu)頁面，選擇對應的用(yong)戶組(zu)(zu)，點擊(ji)“添加”按鈕(niu)加入已選用(yong)戶組(zu)(zu)，點擊(ji)下一步即可。

4. 授權：

• 在IAM管理頁面中，點擊(ji)左側菜單(dan)欄中“用(yong)戶(hu)組”進入用(yong)戶(hu)組管理頁面。

• 在用戶組管理頁(ye)面(mian)中，點擊對應用戶組的“授權(quan)”按(an)鈕，進(jin)入授權(quan)頁(ye)面(mian)。

• 在(zai)授權頁面(mian)中，勾(gou)選對應策略，點擊下一步進入設置授權范圍頁面(mian)。

• 在設(she)置授權范圍頁面中，選擇授權范圍，點擊“確(que)定”按鈕就可完成授權。