日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 無影云電腦企業(yè)版 操作指南 管理員指南 管理權(quán)限 基于無影權(quán)限體系 為子管理員實施功能和數(shù)據(jù)權(quán)限隔離

為子管理員實施功能和數(shù)據(jù)權(quán)限隔離

更新時間:
產(chǎn)品詳情
我的收藏

對于擁有復(fù)雜組織架構(gòu)和大量云電腦的客戶而言,需要設(shè)立子管理員來協(xié)助主管理員完成管理工作,但根據(jù)權(quán)限最小化的信息安全最佳實踐,不能簡單地為每位子管理員賦予全部的功能和數(shù)據(jù)權(quán)限。本文介紹如何使用無影云電腦的權(quán)限管理模塊來為子管理員實施功能和數(shù)據(jù)權(quán)限隔離。

需求場景

以阿里云主賬號登錄無影云電腦控制臺時,該賬號具備所有的權(quán)限,可以使用控制臺上提供的所有管控功能,也可以操作所有的資源。對于組織結(jié)構(gòu)龐大、部門多、員工數(shù)量多、云電腦數(shù)量多的客戶而言,如果只有一名管理員來承擔(dān)所有的管控工作,一方面可能會有工作量過大的問題,另一方面可能也會不符合企業(yè)內(nèi)部的權(quán)限隔離要求。此時,就需要有一名或多名子管理員來分擔(dān),但這種場景會有以下需求:

  • 實施功能權(quán)限隔離:例如,子管理員A僅可創(chuàng)建和管理用戶,但不可創(chuàng)建和管理云電腦;子管理員B僅可查看所有數(shù)據(jù),不可執(zhí)行其他操作。

  • 實施數(shù)據(jù)權(quán)限隔離:例如,子管理員C僅可查看和管理研發(fā)部門的云電腦,子管理員D僅可查看和管理設(shè)計部門的云電腦。

解決方案

無影云電腦提供的權(quán)限管理模塊可以滿足上述需求。

image

權(quán)限管理模塊從以下維度解決問題:

  • 人員維度:支持創(chuàng)建子管理員,每個子管理員所具備的功能權(quán)限由其扮演的角色決定,數(shù)據(jù)權(quán)限由其管理的資源組決定。

  • 功能維度:支持使用默認(rèn)角色和創(chuàng)建自定義角色。角色是功能權(quán)限描述的集合,具體規(guī)定了可以訪問控制臺的哪些功能模塊,可以執(zhí)行哪些操作,用于實現(xiàn)功能權(quán)限隔離。默認(rèn)角色包括:

    • 超級管理員:具備操作所有功能和云資源的權(quán)限。僅超級管理員可創(chuàng)建和管理其他管理員。

    • 系統(tǒng)管理員:具備操作云資源、管理云資源授權(quán)、監(jiān)控系統(tǒng)狀態(tài)和執(zhí)行運維任務(wù)的權(quán)限,不具備創(chuàng)建和管理用戶的權(quán)限。

    • 安全審計管理員:僅具備查看數(shù)據(jù)的權(quán)限,無功能操作的權(quán)限。

    • 安全保密管理員:具備創(chuàng)建和管理用戶、監(jiān)控安全數(shù)據(jù)處理狀態(tài)的權(quán)限,不具備云資源操作的權(quán)限。

  • 數(shù)據(jù)維度:支持創(chuàng)建資源組。資源組是云電腦資源的集合,用于實現(xiàn)權(quán)限隔離。

因此,我們可以借助權(quán)限管理模塊輕松滿足上述假設(shè)的需求。

需求

解決方案

  • 子管理員A僅可創(chuàng)建和管理用戶,但不可創(chuàng)建和管理云電腦;

  • 子管理員B僅可查看所有數(shù)據(jù),不可執(zhí)行其他操作。

  1. 創(chuàng)建自定義角色1,僅賦予用戶與組織模塊中的用戶管理相關(guān)權(quán)限。

  2. 創(chuàng)建子管理員A,為其賦予自定義角色1;創(chuàng)建子管理員B,為其賦予默認(rèn)角色安全審計管理員

  • 子管理員C僅可查看和管理研發(fā)部門的云電腦;

  • 子管理員D僅可查看和管理設(shè)計部門的云電腦。

  1. 創(chuàng)建資源組1,將研發(fā)部門的云電腦移入該資源組;創(chuàng)建資源組2,將設(shè)計部門的云電腦移入該資源組。

  2. 創(chuàng)建子管理員C,為其授權(quán)資源組1;創(chuàng)建子管理員D,為其授權(quán)資源組2。

創(chuàng)建角色

您可以使用默認(rèn)角色,也可以根據(jù)需要創(chuàng)建自定義角色。此后,您可以為子管理員賦予角色,實現(xiàn)不同子管理員之間的功能權(quán)限隔離。

  1. 登錄無影云電腦企業(yè)版控制臺。

  2. 在左側(cè)導(dǎo)航欄,選擇安全與審計 > 管理員權(quán)限,并在管理員權(quán)限頁面上單擊角色頁簽。

  3. 角色頁面單擊創(chuàng)建角色,然后輸入以下配置信息,并單擊確定。

    • 名稱:輸入角色名稱。

    • 父角色:從默認(rèn)角色中為該角色選擇一個父級角色。

      選擇后,父角色的所有權(quán)限會在權(quán)限配置區(qū)域加載出來,您可以在此基礎(chǔ)上完成具體配置。

    • (可選)描述:輸入角色描述,便于區(qū)分各角色。

后續(xù)操作

創(chuàng)建好的角色會顯示在角色頁面上。

  • 如需修改自定義角色,可在目標(biāo)角色的操作列單擊編輯。

  • 如需刪除自定義角色,可在目標(biāo)角色的操作列單擊刪除。

創(chuàng)建資源組

您可以創(chuàng)建資源組,根據(jù)需要將云電腦移入不同的資源組。此后,您可以為資源組設(shè)置授權(quán)子管理員,實現(xiàn)不同子管理員之間的數(shù)據(jù)權(quán)限隔離。

  1. 在左側(cè)導(dǎo)航欄,選擇資源管理 > 資源組。

  2. 資源組頁面單擊創(chuàng)建資源組,然后在對話框中輸入資源組名稱

    說明

    名稱要求:不超過30個字符。必須以大小寫字母或中文字符開頭,不能以http://https://開頭。可使用的字符包括中文、英文、數(shù)字、半角冒號(:)、下劃線(_)、點號(.)和短劃線(-)。

  3. 配置資源及授權(quán)對話框中單擊立即前往。

  4. 資源管理頁簽上單擊轉(zhuǎn)入資源,然后在轉(zhuǎn)入資源面板上,選擇要轉(zhuǎn)入該資源組的所有云電腦,并單擊確定。

后續(xù)操作

創(chuàng)建好的資源組會顯示在資源組頁面上。

  • 如需為資源組添加或移除授權(quán)子管理員,可在目標(biāo)資源組的操作列單擊授權(quán)管理,然后單擊新增授權(quán)管理員,并在新增授權(quán)管理員面板上按需操作。

    說明

    如需添加授權(quán)子管理員,但面板上暫無可選項,您可以單擊列表底部的創(chuàng)建管理員

  • 如需添加或移除資源組內(nèi)的資源,可在目標(biāo)資源組的操作列單擊資源管理。

    說明

    資源管理頁簽的用戶列單擊圖標(biāo),選擇未分配資源用戶并單擊確定,即可快速篩選出所有閑置資源,方便進行后續(xù)管理。

    資源組_篩選閑置資源

  • 如需修改資源組名稱,可在目標(biāo)資源組的操作列單擊編輯。

  • 如需刪除資源組,可在目標(biāo)資源組的操作列單擊刪除。

創(chuàng)建子管理員并設(shè)置授權(quán)范圍

創(chuàng)建子管理員時,通過選擇其扮演的角色來實現(xiàn)功能權(quán)限隔離,通過為其添加授權(quán)的資源類型和資源組來實現(xiàn)數(shù)據(jù)隔離。

  1. 在左側(cè)導(dǎo)航欄,選擇安全與審計 > 管理員權(quán)限。

  2. 管理員權(quán)限頁面單擊創(chuàng)建管理員,然后輸入以下配置信息,并單擊創(chuàng)建

    • 關(guān)聯(lián)RAM:子管理員需要使用RAM用戶來登錄控制臺完成管理工作,因此需要關(guān)聯(lián)一個RAM用戶。您可以執(zhí)行以下操作之一:

      • 選擇一個當(dāng)前阿里云主賬號下已有的RAM賬號:選擇存量RAM賬號,并從下拉列表中選擇一個。

      • 新建一個RAM賬號:選擇新建RAM賬號,并在彈出的訪問控制快速授權(quán)頁面上單擊確認(rèn)授權(quán)。

        子管理員RAM用戶登錄憑證

        說明

        RAM用戶的用戶名和初始密碼會通過您填寫的郵箱或手機號發(fā)送給子管理員。

    • 管理員昵稱:輸入子管理員的顯示名稱。

    • 角色:從默認(rèn)角色或者您創(chuàng)建的自定義角色中選擇子管理員要扮演的角色。該角色決定子管理員具備哪些功能權(quán)限。

    • 郵箱:輸入子管理員的郵箱,用于接收RAM用戶登錄憑證等相關(guān)通知。

    • (可選)電話:輸入子管理員的手機號碼,用于接收RAM用戶登錄憑證等相關(guān)通知。

  3. 管理員權(quán)限頁面上找到上一步創(chuàng)建的子管理員,在其操作列單擊授權(quán)管理。

  4. 授權(quán)管理面板上,設(shè)置該子管理員的授權(quán)范圍,并單擊確定。您可以從資源類型和資源組維度添加授權(quán),最終的授權(quán)范圍為二者的并集。

    1. 資源類型:可選擇云電腦用戶。

      重要

      選擇任意一種資源類型,即表示該子管理員將具備所選資源類型的全部資源管理權(quán)限,包括后續(xù)新增的該類型的資源。例如,如果選擇云電腦,則該子管理員將具備當(dāng)前阿里云賬號下所有云電腦以及將來新購的所有云電腦的管理權(quán)限。

    2. 資源組:在可授權(quán)資源組區(qū)域選擇要為該子管理員添加授權(quán)的資源組,并單擊圖標(biāo),以將該資源組移動至已授權(quán)資源組區(qū)域。

后續(xù)操作

創(chuàng)建好的子管理員會顯示在管理員權(quán)限頁面上。

  • 如需修改子管理員的關(guān)聯(lián)RAM用戶,可在目標(biāo)子管理員的操作列單擊修改關(guān)聯(lián)RAM。

  • 如需修改子管理員的授權(quán)范圍,可在目標(biāo)子管理員的操作列單擊授權(quán)管理。

  • 如需修改子管理員的基本信息,包括昵稱、角色、郵箱和手機號,可在目標(biāo)子管理員的操作列單擊編輯。

  • 如需刪除子管理員,可在目標(biāo)子管理員的操作列單擊刪除

子管理員登錄控制臺

子管理員可使用在郵件或短信中收到的用戶名和初始密碼來登錄控制臺。

  1. 打開RAM用戶登錄頁面。

  2. 用戶名文本框中輸入收到的用戶名,并單擊下一步

    示例:AU-492b4a18-****-****-****-****@1161219343******.onaliyun.com

  3. 用戶密碼文本框中輸入收到的初始密碼,并單擊登錄

    示例:AP:269fa57f-34c6-4818-af98-bccb7fb6****

  4. (條件)首次登錄時,在重置RAM用戶密碼頁面輸入新密碼和確認(rèn)新密碼,并單擊確認(rèn)重置。

    以后登錄時需使用該自定義密碼。

  5. 登錄無影云電腦企業(yè)版控制臺。