权限管理
如果您需要对开天集成工作台给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。如果您在华为云注册的账号已经分配访问权限,不需要给员工创建独立的访问凭证和权限,您可以跳过本章节,不影响您使用开天集成工作台服务的其它功能。
您可以使用统一身份认证服务(Identity and Access Management,简称IAM)在账号中给员工创建独立的IAM用户,授权控制员工对华为云资源的访问范围,员工即可使用IAM用户名和密码登录华为云,并按照权限使用账号中的资源。例如您的员工中有负责软件开发的人员,您希望员工拥有流(Flow)的使用权限,但是不希望员工拥有删除流等高危操作的权限,那么您可以使用IAM为开发人员创建IAM用户,授予IAM用户仅能使用流,但是不允许删除流的权限,控制员工对流资源的使用范围。
IAM是华为云提供权限管理的基础服务,无需付费即可使用。关于IAM的详细介绍,请参见IAM产品介绍。
开天集成工作台权限
默认情况下,新创建的IAM用户没有任何权限,管理员需要在IAM控制台为其授予权限。授权后,用户就可以基于被授予的权限对云服务进行操作。
权限根据授权精细程度分为策略和角色。
- 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对开天集成工作台服务,管理员能够控制IAM用户仅能对流(Flow)进行指定的管理操作。策略包含系统策略和自定义策略。
- 角色:IAM最初提供的一种根据用户的工作职能定义的粗粒度授权机制,以服务为粒度,不支持自定义,只提供系统角色。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,系统会自动为您勾选依赖的角色,同时授予依赖的角色,才能正确完成相应操作。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
表1 开天集成工作台系统权限列出了开天集成工作台的所有系统权限,包括系统策略和系统角色。
权限名称 |
描述 |
类别 |
依赖关系 |
|---|---|---|---|
MSSI FullAccess |
开天集成工作台管理员权限,拥有该权限的用户可以操作并使用所有权限。 |
系统策略 |
无 |
MSSI CommonOperations |
开天集成工作台普通用户权限。 |
无 |
|
MSSI ReadOnlyAccess |
开天集成工作台只读权限,拥有该权限的用户仅能查看开天集成工作台数据。 |
无 |
|
Tenant Administrator |
全部云服务管理员(除IAM管理权限)。 |
系统角色 |
无 |
Tenant Guest |
全部云服务只读权限(除IAM权限)。 |
无 |
表2 常用操作系统与权限的关系列出了开天集成工作台常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。
资源 |
操作 |
MSSI FullAccess |
MSSI CommonOperations |
MSSI ReadOnlyAccess |
Tenant Administrator |
Tenant Guest |
|---|---|---|---|---|---|---|
流 |
创建流 |
√ |
√ |
x |
√ |
x |
编辑流 |
√ |
√ |
x |
√ |
x |
|
删除流 |
√ |
√ |
x |
√ |
x |
|
运行流 |
√ |
√ |
x |
√ |
x |
|
查询流运行记录 |
√ |
√ |
√ |
√ |
√ |
|
查询流活动历史记录统计 |
√ |
√ |
√ |
√ |
√ |
|
连接器 |
创建连接器 |
√ |
√ |
x |
√ |
x |
编辑连接器 |
√ |
√ |
x |
√ |
x |
|
删除连接器 |
√ |
√ |
x |
√ |
x |
|
查询连接器 |
√ |
√ |
x |
√ |
x |
|
连接 |
新建连接 |
√ |
√ |
x |
√ |
x |
删除连接 |
√ |
√ |
x |
√ |
x |
|
查询连接列表 |
√ |
√ |
√ |
√ |
√ |
|
查询单个连接 |
√ |
√ |
√ |
√ |
√ |
|
测试连接 |
√ |
√ |
√ |
√ |
√ |
|
修改连接配置内容 |
√ |
√ |
x |
√ |
x |
|
查询连接对应的流 |
√ |
√ |
√ |
√ |
√ |
|
查询流对应的连接 |
√ |
√ |
√ |
√ |
√ |
|
查询连接器对应的连接 |
√ |
√ |
√ |
√ |
√ |
|
批量删除 |
√ |
√ |
x |
√ |
x |
|
查询连接器配置表获取连接器的信息 |
√ |
√ |
√ |
√ |
√ |
|
发布连接 |
√ |
√ |
x |
√ |
x |
|
模板 |
查看单个Flow模板内容 |
√ |
√ |
√ |
√ |
√ |
查询Flow模板列表 |
√ |
√ |
√ |
√ |
√ |
|
删除Flow模板内容 |
√ |
x |
x |
√ |
x |
|
修改Flow模板内容 |
√ |
x |
x |
√ |
x |
|
根据流创建Flow模板 |
√ |
x |
x |
√ |
x |
|
函数 |
查找function列 |
√ |
√ |
√ |
√ |
√ |
集成项目 |
集成项目 |
√ |
x |
x |
√ |
x |
概览 |
查看概览数据 |
√ |
√ |
√ |
√ |
√ |
工作空间 |
添加分组 |
√ |
x |
x |
√ |
x |
删除分组 |
√ |
√ |
x |
√ |
x |
|
编辑分组 |
√ |
√ |
x |
√ |
x |
|
查看收藏模型详情 |
√ |
√ |
√ |
√ |
√ |
|
取消收藏模型 |
√ |
√ |
x |
√ |
x |
|
业务术语 |
新增业务字典 |
√ |
√ |
x |
√ |
x |
删除业务字典 |
√ |
x |
x |
√ |
x |
|
编辑业务字典 |
√ |
√ |
x |
√ |
x |
|
创建分组 |
√ |
√ |
x |
√ |
x |
|
编辑分组 |
√ |
√ |
x |
√ |
x |
|
删除分组 |
√ |
x |
x |
√ |
x |
|
创建数据标准 |
√ |
√ |
x |
√ |
x |
|
上架数据标准 |
√ |
√ |
x |
√ |
x |
|
删除数据标准 |
√ |
x |
x |
√ |
x |
|
下架数据标准 |
√ |
√ |
x |
√ |
x |
|
编辑数据标准 |
√ |
√ |
x |
√ |
x |
|
屏幕 |
创建屏幕 |
√ |
√ |
x |
√ |
x |
编辑屏幕 |
√ |
√ |
x |
√ |
x |
|
删除屏幕 |
√ |
√ |
x |
√ |
x |
|
预览屏幕 |
√ |
√ |
√ |
√ |
√ |
|
移动屏幕 |
√ |
√ |
x |
√ |
x |
|
重命名屏幕 |
√ |
√ |
x |
√ |
x |
|
卡片 |
创建或上传卡片 |
√ |
√ |
x |
√ |
x |
编辑模板卡片 |
√ |
√ |
x |
√ |
x |
|
删除卡片 |
√ |
√ |
x |
√ |
x |
|
预览卡片 |
√ |
√ |
√ |
√ |
√ |
|
移动卡片至其他分组 |
√ |
√ |
x |
√ |
x |
|
下载卡片 |
√ |
√ |
√ |
√ |
√ |
|
复制卡片 |
√ |
√ |
x |
√ |
x |
|
模型地图 |
检索模型 |
√ |
√ |
√ |
√ |
√ |
创建推荐实例 |
√ |
√ |
x |
√ |
x |
|
删除推荐实例 |
√ |
x |
x |
√ |
x |
|
编辑推荐实例 |
√ |
√ |
x |
√ |
x |
|
生效推荐实例 |
√ |
x |
x |
√ |
x |
|
失效推荐实例 |
√ |
x |
x |
√ |
x |
|
删除索引类 |
√ |
x |
x |
√ |
x |
|
添加索引类 |
√ |
√ |
x |
√ |
x |
|
查看标注、标注规则 |
√ |
√ |
√ |
√ |
√ |
|
新建标注、标注规则 |
√ |
√ |
x |
√ |
x |
|
删除标注、标注规则 |
√ |
x |
x |
√ |
x |
|
编辑标注、标注规则 |
√ |
√ |
x |
√ |
x |
|
添加标注 |
√ |
√ |
x |
√ |
x |
|
移除标注 |
√ |
x |
x |
√ |
x |
|
添加业务字典 |
√ |
√ |
x |
√ |
x |
|
移除业务字典 |
√ |
x |
x |
√ |
x |
|
模型目录 |
查看数据资产 |
√ |
√ |
√ |
√ |
√ |
新增数据资产 |
√ |
√ |
x |
√ |
x |
|
删除数据资产 |
√ |
x |
x |
√ |
x |
|
编辑数据资产 |
√ |
√ |
x |
√ |
x |
|
模型采集 |
查看数据源 |
√ |
√ |
√ |
√ |
√ |
新增数据源 |
√ |
√ |
x |
√ |
x |
|
删除数据源 |
√ |
x |
x |
√ |
x |
|
编辑数据源 |
√ |
√ |
x |
√ |
x |
|
查看采集任务 |
√ |
√ |
√ |
√ |
√ |
|
新增采集任务 |
√ |
√ |
x |
√ |
x |
|
删除采集任务 |
√ |
x |
x |
√ |
x |
|
编辑采集任务 |
√ |
√ |
x |
√ |
x |
|
API生命周期管理 |
创建分组 |
√ |
√ |
x |
√ |
x |
查看分组 |
√ |
√ |
√ |
√ |
√ |
|
新建API |
√ |
√ |
x |
√ |
x |
|
修改API |
√ |
√ |
x |
√ |
x |
|
查看API |
√ |
√ |
√ |
√ |
√ |
|
信息架构 |
创建架构 |
√ |
√ |
x |
√ |
x |
查看架构 |
√ |
√ |
√ |
√ |
√ |
|
编辑架构 |
√ |
√ |
x |
√ |
x |
|
删除架构 |
√ |
x |
x |
√ |
x |
|
发布架构 |
√ |
x |
x |
√ |
x |
|
撤销发布架构 |
√ |
x |
x |
√ |
x |
|
创建适配器 |
√ |
√ |
x |
√ |
x |
|
查看适配器详情 |
√ |
√ |
√ |
√ |
√ |
|
编辑适配器 |
√ |
√ |
x |
√ |
x |
|
删除适配器 |
√ |
x |
x |
√ |
x |
