授权配置指南
本文档介绍如何在权限管理系统中进行授权管理,包括为用户和用户组授权策略、撤销权限等操作。
授权核心机制
重要
授权核心机制:成功的授权需要同时配置授权策略(定义可执行的操作)和授权范围(定义可操作的资源)。缺少任何一个组件,权限都不会生效。核心概念请参考 身份与访问管理。
快速配置:团队资源隔离
注意
最常见场景:为不同团队分配独立的资源池或项目权限,实现团队间资源隔离。
三步配置流程
第一步:规划用户组
根据组织架构创建用户组,访问用户组列表页面创建用户组。
示例组织架构 → 用户组设计
├── 研发部
│ ├── 算法团队 → 创建"算法组"用户组
│ └── 工程团队 → 创建"工程组"用户组
└── 产品部
└── AI产品团队 → 创建"AI产品组"用户组第二步:为用户组授权
访问用户组列表,选择用户组,点击授权,为每个用户组分配对应的策略和范围:
| 用户组 | 策略 | 授权范围 | 获得权限 |
|---|---|---|---|
| 算法组 | AI Studio 开发者 | 指定资源池(GPU-A) + 存储卷(租户下所有或指定) | 在GPU-A池创建开发实例 |
| 工程组 | AI Studio 开发者 | 指定资源池(GPU-B) + 存储卷(租户下所有或指定) | 在GPU-B池创建开发实例 |
| AI产品组 | Gen Studio 用户 | 租户下所有 | 使用所有AI模型服务 |
详细操作步骤请参考用户组管理指南。
第三步:添加团队成员
访问用户组列表,选择用户组,点击添加用户,将用户批量加入对应用户组。
提示
结果验证
用户加入用户组后,立即获得该组的所有权限。用户可在对应的资源范围内进行操作。
常见配置模板
开发团队隔离
用户组:前端组、后端组、算法组
策略:AI Studio 开发者
范围:指定资源池(不同GPU池)项目团队隔离
用户组:项目A组、项目B组
策略:AI Studio 开发者
范围:指定资源(项目专用实例)权限等级隔离
用户组:普通开发者组、高级开发者组
策略:不同等级的开发者策略
范围:租户下所有用户和用户组授权操作
授权实质 = 选权限策略 + 选授权范围 → 保存。
| 授权入口 | 适用场景 | 路径 |
|---|---|---|
| 用户详情页 | 为单个用户增加/调整权限 | 用户管理 → 目标用户 → 权限管理 → 添加权限 |
| 用户组详情页 | 批量授权、角色模板 | 用户组管理 → 目标组 → 权限管理 → 添加权限 |
| 策略详情页 | 从策略视角批量授权 | 策略管理 → 目标策略 → 授权记录 → 授权 |
授权操作路径
从智算云平台控制的用户管理、用户组管理、权限策略管理界面均可完成授权操作。下图分别突出展示每种操作路径:
路径选择原则
| 场景 | 推荐路径 | 原因 |
|---|---|---|
| 新员工入职 | 用户为中心 | 作为租户超级管理员,需要为个人配置特殊权限、临时权限 |
| 团队权限调整 | 用户组为中心 | 作为租户超级管理员,需要调整用户组构成,批量管理团队权限 |
| 权限审计检查 | 策略为中心 | 作为租户超级管理员,需要明确了解策略的定义、设计自定义策略、调整策略间权限分布、了解各个策略的使用情况 |
撤销权限操作
以下操作会导致用户失去权限(即撤销或减少其可用权限):
- 移除直接授予的权限策略:在用户详情页或用户组详情页,删除某条已分配的权限策略。
- 修改授权范围为更小范围:将原本较大范围(如“租户下所有”)的授权范围,调整为更小的范围(如“我的”或“指定资源池”)。
- 将用户移出用户组:用户将不再继承该用户组的所有权限。
- 删除用户组:该组下所有成员将失去通过该组继承的权限。
- 在用户组中移除某条权限策略:组内所有成员将失去该策略对应的权限。
- 禁用或删除权限策略:所有被分配该策略的用户/用户组将失去相关权限。
- 禁用用户账号:被禁用的用户无法登录和使用任何权限。
- 调整策略内容,收紧操作权限:修改策略定义,减少可执行的操作(如去除“删除”、“管理”等权限),所有被分配该策略的用户/用户组权限随之减少。
注意
撤销权限操作会立即生效,请谨慎操作,避免影响正常业务。
授权范围定义
智算云平台权限管理系统定义了以下授权范围。
我的
- 含义:用户只能管理自己创建的资源,无法操作其他资源
- 适用场景:个人资源管理
- 权限范围:最小权限范围
指定资源池
- 含义:用户可以在指定的资源池中执行授权策略中定义的操作
- 适用场景:部门或项目资源管理
- 权限范围:中等权限范围
指定资源
- 含义:用户可以针对特定的资源(例如某台开发机的 ID)执行授权策略中定义的操作
- 适用场景:精确的资源权限控制
- 权限范围:精确权限范围
租户下所有
- 含义:用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制
- 适用场景:管理员或高级用户
- 权限范围:最大权限范围
可用区(存储服务/镜像服务专用)
- 含义:限制在特定可用区的存储资源
- 适用场景:存储服务/镜像服务的地域限制
- 权限范围:地域限制范围
常见问题
为什么我无法为用户授权?
请检查以下条件:
- 确认您有执行授权操作的权限
- 检查目标用户是否存在且状态正常
- 确认选择的策略是否可用
- 验证授权范围配置是否正确
如果用户所有的权限策略的授权范围为「我的」,为什么用户无法使用开发机?
如果用户所有的权限策略的授权范围为「我的」,则用户无法使用任何资源池的算力资源创建开发机。
用户授权后权限不生效怎么办?
请按以下步骤排查:
- 确认授权操作是否成功完成
- 检查用户是否重新登录
- 验证授权范围是否包含目标资源
- 查看审计日志确认权限检查结果
撤销权限后用户仍然有权限怎么办?
可能的原因和解决方法:
- 用户可能通过其他用户组拥有相同权限
- 检查用户的所有权限来源
- 确认撤销操作是否成功
- 建议用户重新登录刷新权限
为什么无法撤销超级管理员权限?
系统保护机制:
- 系统确保至少保留一个超级管理员
- 如果是最后一个超级管理员,无法撤销
- 需要先为其他用户授予超级管理员权限
如何高效地为多个用户配置相同权限?
建议使用用户组方式:
- 创建角色用户组
- 为用户组配置权限策略
- 将用户批量加入用户组
- 实现权限的批量管理
批量权限变更对用户有什么影响?
批量权限变更的影响:
- 权限变更会立即生效
- 用户可能需要重新登录
- 建议在业务低峰期执行
- 提前通知受影响的用户
如何选择合适的授权范围?
选择授权范围的建议:
- 遵循最小权限原则
- 根据用户的实际工作职责
- 考虑业务安全要求
- 可以从小范围开始,逐步扩展
不同授权范围的权限会冲突吗?
不会冲突:
- 系统采用权限叠加模式
- 用户的最终权限是所有权限的并集
- 相同操作的不同范围会取最宽泛的范围