权限管理
如果您需要为企业员工设置不同的访问权限,以实现对华为云上购买的工业数据转换引擎云服务(Industrial Data Exchange Engine Service,iDEE)资源的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)和iDEE业务面的管理功能进行精细的权限管理。
如果华为账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用iDEE服务的其他功能。
通过IAM,您可以在华为账号中给员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如,您的员工中有负责软件开发的人员,您希望他们拥有iDEE业务面的使用权限,但是不希望他们拥有退订iDEE等高危操作的权限,那么您可以先创建一个IAM用户,并设置该用户在iDEE业务面中的角色,控制他们对iDEE的使用范围。
iDEE控制台权限
默认情况下,新建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
iDEE部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如上海一)对应的项目(cn-east-3)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问iDEE时,需要先切换至授权区域。
权限根据授权精细程度分为角色和策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对iDEE服务,租户(Domain)能够控制用户仅能对应用进行指定的管理操作。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
如表1所示,包括了iDEE控制台的所有系统策略。
iDEE业务面权限
如表2所示,包括了iDEE业务面的所有系统默认角色。
|
角色名称 |
描述 |
|---|---|
|
租户管理员 |
所有在“admin”用户组的IAM用户均默认为租户管理员,具有iDEE业务面管理(权限管理和日志管理)功能的权限。 |
|
工程师 |
所有不在“admin”用户组的IAM用户均默认为工程师,具有工作台(模型管理、模型格式转换、模型可视化)的使用权限。 |
iDEE对用户访问实现了严格的权限管理,在iDEE业务面中,在IAM中创建的IAM用户必须由租户管理员在iDEE业务面的中授权,才能访问和使用iDEE业务面。
- 具有“租户管理员”角色的IAM用户拥有iDEE业务面管理功能的所有权限,包括为系统默认角色添加成员,创建、编辑、删除自定义角色,以及查看当前华为账号下所有IAM用户的操作日志。
- 具有“工程师”角色的IAM用户只能在工作台查看和管理自己创建的模型和转换数据,不能查看其他IAM用户创建的模型和转换数据。
表3列出了iDEE业务面常见操作与系统默认角色的授权关系,您可以参照该表选择合适的系统权限。其中,“√”表示支持,“x”表示暂不支持。
|
角色权限 |
描述 |
租户管理员 |
工程师 |
|---|---|---|---|
|
查看模型 |
在“工作台”中查看已创建的模型。 |
× |
√ |
|
查看文件 |
在“工作台”查看已创建转换数据的模型文件。 |
× |
√ |
|
上传文件 |
在“工作台”上传文件。 |
× |
√ |
|
下载文件 |
在“工作台”下载文件。 |
× |
√ |
|
删除模型 |
在“工作台”删除模型。 |
× |
√ |
|
创建模型 |
在“工作台”创建模型。 |
× |
√ |
|
更新模型 |
在“工作台”更新模型。 |
× |
√ |
|
查看转换数据 |
在“工作台”查看转换数据。 |
× |
√ |
|
创建转换数据 |
在“工作台”创建转换数据。 |
× |
√ |
|
删除转换数据 |
在“工作台”删除转换数据。 |
× |
√ |
|
查询角色权限 |
在查询角色权限。 |
√ |
× |
|
新增角色权限 |
在新增角色权限。 |
√ |
× |
|
删除角色权限 |
在删除角色权限。 |
√ |
× |
|
修改角色权限 |
在修改角色权限。 |
√ |
× |
|
查看操作日志 |
在查看操作日志。 |
√ |
× |
iDEE业务面功能依赖的角色权限
如果系统默认角色不能满足您的要求,您还可以自定义角色和为自定义角色添加成员来进一步对iDEE业务面(如工作台、权限管理和日志管理)的增删改查权限进行配置,从而做到更加精细化的权限控制。
|
功能模块 |
操作 |
需配置的角色权限 |
|---|---|---|
|
工作台 |
在“工作台”创建模型 |
需要增加“查看模型”、“上传文件”和“创建模型”权限后,才能创建模型。 |
|
在“工作台”更新模型 |
需要增加“查看模型”和“更新模型”权限后,才能更新模型。 |
|
|
在“工作台”删除模型 |
需要增加“查看模型”和“删除模型”权限后,才能删除模型。 |
|
|
在“工作台”查询模型列表 |
需要增加“查看模型”权限后,才能查询模型列表。 |
|
|
在线可视化已创建的模型 |
需要增加“查看模型”和“查看文件”权限后,才能在线可视化查看模型。 |
|
|
对已创建的模型进行格式转换 |
需要增加“查看模型”、“查看转换数据”和“创建转换数据”权限后,才能对已创建的模型进行格式转换。 |
|
|
下载格式转换后输出的模型 |
需要增加“查看模型”、“下载文件”和“查看转换数据”权限后,才能下载格式转换后输出的模型。 |
|
|
删除格式转换后输出的模型 |
需要增加“查看模型”、“查看转换数据”和“删除转换数据”权限后,才能下载格式转换后输出的模型。 |
|
|
管理 |
在“权限管理”中新建角色 |
需要增加“查看角色权限”和“新增角色权限”权限后,才能新建角色。 |
|
在“权限管理”中重新分配角色权限 |
需要增加“查看角色权限”和“修改角色权限”权限后,才能为自定义角色重新分配角色权限。 |
|
|
在“权限管理”中删除角色 |
需要增加“查看角色权限”和“删除角色权限”权限后,才能删除自定义角色。 |
|
|
在“日志管理”中查看操作日志 |
需要增加“查看操作日志”权限后,才能查看当前华为账号下所有IAM用户的操作日志。 |
