快速配置团队权限
本文档介绍了如何为团队快速规划和配置权限管理系统,包括为用户和用户组授权、撤销权限等操作。
注意
最常见场景:为不同团队分配独立的资源池或项目权限,实现团队间资源隔离。为了避免每次授权用户都需要单独配置范围,我们可以先授权用户组,再通过批量授权简化授权操作。
前提条件
- 请确保您为租户超级管理员,或已具备相应的授权能力
- 请确保您已了解智算云平台的「权限策略 + 授权范围」的授权核心机制。详见 身份与访问管理。
Step 0 规划用户组
根据组织架构创建用户组,访问用户组列表页面创建用户组。
示例组织架构 → 用户组设计
├── 研发部
│ ├── 算法团队 → 创建"算法组"用户组
│ └── 工程团队 → 创建"工程组"用户组
└── 产品部
└── AI应用团队 → 创建"AI应用组"用户组Step 1 为用户组授权
访问用户组列表,选择用户组,点击授权,为每个用户组配置对应的授权策略和授权范围。
例如,为了实现算法组与工程组的算力与存储资源隔离,可参考以下简化配置:
| 用户组 | 策略 | 授权范围 |
|---|---|---|
| 算法组 | 一站式 AI 平台开发者 | 开发机/任务/推理服务/镜像(指定资源池:广东B-A100) + 存储文件系统(可用区广东B) + 存储卷(指定文件系统下所有) |
| 工程组 | 一站式 AI 平台开发者 | 开发机/任务/推理服务/镜像(指定资源池:宁夏B-A100) + 存储文件系统(可用区宁夏B) + 存储卷(指定文件系统下所有) |
| AI应用组 | 大模型服务平台使用者 | 我的 |
详细操作步骤请参考用户组管理指南。
Step 2 添加用户至用户组
如果用户不存在,可在租户中创建用户,同时将用户加入对应用户组。
如果用户已存在,但需要根据新划分的用户组重新调整权限,可以访问用户组列表,选择目标用户组,点击添加用户,将用户批量加入对应用户组。
用户加入用户组后,立即获得该组的所有权限。用户可在对应的资源范围内进行操作。
授权操作路径
从智算云平台控制的用户管理、用户组管理、权限策略管理界面均可完成授权操作。下图分别突出展示每种操作路径:
路径选择原则:
| 场景 | 推荐路径 | 原因 |
|---|---|---|
| 新员工入职 | 用户为中心 | 作为租户超级管理员,需要为个人配置特殊权限、临时权限 |
| 团队权限调整 | 用户组为中心 | 作为租户超级管理员,需要调整用户组构成,批量管理团队权限 |
| 权限审计检查 | 策略为中心 | 作为租户超级管理员,需要明确了解策略的定义、设计自定义策略、调整策略间权限分布、了解各个策略的使用情况 |
撤销权限
以下操作会导致用户失去权限(即撤销或减少其可用权限):
- 移除直接授予的权限策略:为用户或用户组取消某条已分配的权限策略。
- 修改授权范围为更小范围:将原本较大范围(如“租户下所有”)的授权范围,调整为更小的范围(如“我的”或“指定资源池”)。
- 将用户移出用户组:用户将不再继承该用户组的所有权限。
- 删除用户组:该组下所有成员将失去通过该组继承的权限。
- 在用户组中移除某条权限策略:组内所有成员将失去该策略对应的权限。
- 禁用或删除权限策略:所有被分配该策略的用户/用户组将失去相关权限。
- 禁用用户账号:被禁用的用户无法登录和使用任何权限。
- 调整策略内容,收紧操作权限:修改自定义策略,减少可执行的操作(如去除“删除”、“管理”等权限),所有被分配该策略的用户/用户组权限随之减少。
注意
撤销权限操作会立即生效,请谨慎操作,避免影响正常业务。
配置存储相关权限
存储权限分为操作权限和挂载权限。针对非管理员用户,两者都必须配置。
- 对存储文件系统和存储卷的操作权限:可通过「授权策略+授权范围」控制用户/用户组对存储文件系统、存储卷的允许操作和可操作资源范围。
- 对存储卷的挂载权限:控制用户/用户组在创建负载时(开发机/推理服务/任务等),是否可挂载存储卷、是否可对存储卷进行读写。
初次配置时,建议按照流程先后配置操作权限和挂载权限,详见配置存储权限。
常见问题
为什么我无法为用户授权?
请检查以下条件:
- 确认您有执行授权操作的权限
- 检查目标用户是否存在且状态正常
- 确认选择的策略是否可用
- 验证授权范围配置是否正确
如果用户所有的权限策略的授权范围为「我的」,为什么用户无法使用开发机?
如果用户所有的权限策略的授权范围为「我的」,则用户无法使用任何资源池的算力资源创建开发机。
用户授权后权限不生效怎么办?
请按以下步骤排查:
- 确认授权操作是否成功完成
- 检查用户是否重新登录
- 验证授权范围是否包含目标资源
- 查看审计日志确认权限检查结果
撤销权限后用户仍然有权限怎么办?
可能的原因和解决方法:
- 用户可能通过其他用户组拥有相同权限
- 检查用户的所有权限来源
- 确认撤销操作是否成功
- 建议用户重新登录刷新权限
为什么无法撤销超级管理员权限?
系统保护机制:
- 系统确保至少保留一个超级管理员
- 如果是最后一个超级管理员,无法撤销
- 需要先为其他用户授予超级管理员权限
如何高效地为多个用户配置相同权限?
建议使用用户组方式:
- 创建角色用户组
- 为用户组配置权限策略
- 将用户批量加入用户组
- 实现权限的批量管理
批量权限变更对用户有什么影响?
批量权限变更的影响:
- 权限变更会立即生效
- 用户可能需要重新登录
- 建议在业务低峰期执行
- 提前通知受影响的用户
如何选择合适的授权范围?
选择授权范围的建议:
- 遵循最小权限原则
- 根据用户的实际工作职责
- 考虑业务安全要求
- 可以从小范围开始,逐步扩展
不同授权范围的权限会冲突吗?
不会冲突:
- 系统采用权限叠加模式
- 用户的最终权限是所有权限的并集
- 相同操作的不同范围会取最宽泛的范围
已经配置存储文件系统和存储卷权限,为什么还无法使用存储?
如果您已经为用户/用户组配置了「一站式 AI 平台开发者」或「AI 容器服务平台开发机」策略,并同时配置了「存储-文件系统」「存储-存储卷」的授权范围,但仍然发现无法在创建负载时使用存储,请检查以下项目:
- 创建负载所使用的资源池所在的可用区,是否与「存储-文件系统」「存储-存储卷」的授权范围中配置的可用区一致。
- 是否已经为存储卷配置挂载权限。详见管理用户对存储卷的挂载和读写权限。
我想让 A 团队只使用广东 B 资源池(开发机/镜像/任务),最快怎么做?
推荐用户组为中心的路径:创建「算法组-A团队」→ 在组内添加「一站式 AI 平台开发者」等策略 → 将相关服务的授权范围设为「指定资源池:广东 B」” → 把 A 团队成员加入该组。此后只需改组权限或成员即可批量生效。
同一策略要授给多个团队,但每个团队范围不同(资源池/可用区不同),怎么设计更清晰?
为每个团队建立独立用户组,在各组内使用“相同策略 + 不同授权范围”的组合。组名建议体现“职责 + 范围”(例如“算法组-广东B”),便于审计与回溯。
临时开通权限(临时白名单/临时放行)如何管理?能自动到期回收吗?
创建“临时访问-XX”用户组 → 授权策略与范围 → 添加成员 → 到期移除成员或删除该组。
当前不支持自动到期回收权限。建议配合外部日历/工单提醒避免遗忘。
批量权限调整后影响过大,如何快速回滚?
暂不支持权限配置回滚机制。
最佳实践:先小范围验证(测试组/测试用户)再全量变更。
我需要审计“某个策略(Policy/角色)”现在被授给了谁、在哪些组?
走“策略为中心”的路径:进入策略详情 → 查看授权记录,能看到绑定的用户/用户组与范围;也可在用户详情/用户组详情的权限页交叉核对来源。
直接授权与组内授权“冲突”怎么办?允许与拒绝的优先级是怎样?
系统采用“并集、允许优先”的叠加模型:只要任一路径允许操作且命中范围,用户即可执行。若要收紧权限,需要逐一回收或缩小每条允许路径的范围/策略。
批量权限变更如何降低风险(通知/窗口/回滚)?
选择业务低峰期执行;提前公告受影响团队;分批小步推进;记录变更点(组、策略、范围);预设回滚方案;重要变更后引导用户刷新登录。
为什么授权了存储,创建负载时仍然挂载不了存储?
常见原因:
- 可用区不匹配(资源池所在可用区需与存储范围一致);
- 未配置「挂载权限」。详见配置存储相关权限。
只想临时让工程团队“只读查看”算法项目,怎么配?
创建“工程组-临时只读”用户组,在组内授权只读类策略(创建自定义策略,去掉增删改),范围指向算法项目资源;到期移除该组或清理该策略授权。