快速配置团队权限
本文档说明如何为团队快速规划和配置权限管理系统,包括为用户和用户组授权、撤销权限等操作。
注意
最常见场景:为不同团队分配独立的资源池或项目权限,实现团队间资源隔离。为了避免每次授权用户都需要单独配置范围,我们可以先授权用户组,再通过批量授权简化授权操作。
前提条件
- 请确保您为租户超级管理员,或已具备相应的授权能力
- 请确保您已了解智算云平台的「权限策略 + 授权范围」的授权核心机制。详见 身份与访问管理。
Step 0 规划用户组
根据组织架构规划用户组。访问用户组列表页面创建用户组。
示例组织架构与用户组设计:
- 研发部
- 算法团队 → 创建"算法组"用户组
- 工程团队 → 创建"工程组"用户组
- 产品部
- AI应用团队 → 创建"AI 应用组"用户组
Step 1 为用户组授权
访问用户组列表,选择用户组,点击授权,为每个用户组配置授权策略和授权范围。
例如,为了实现算法组与工程组的算力与存储资源隔离,可参考以下简化配置:
算法组:
- 策略:一站式 AI 平台开发者
- 授权范围:
- 资源管理(指定资源池:广东B-A100)
- 开发机/任务/推理服务/镜像(指定资源池:广东B-A100)
- 存储文件系统(可用区广东B)
- 存储卷(指定文件系统下所有)
工程组:
- 策略:一站式 AI 平台开发者
- 授权范围:
- 资源管理(指定资源池:宁夏B-A100)
- 开发机/任务/推理服务/镜像(指定资源池:宁夏B-A100)
- 存储文件系统(可用区宁夏B)
- 存储卷(指定文件系统下所有)
AI 应用组:
- 策略:大模型服务平台使用者
- 授权范围:我的
详细操作步骤请参考用户组管理指南。
Step 2 添加用户至用户组
如果用户不存在,在租户中创建用户,同时将用户加入对应用户组。
如果用户已存在,但需要根据新划分的用户组重新调整权限,访问用户组列表,选择目标用户组,点击添加用户,将用户批量加入对应用户组。
用户加入用户组后,立即获得该组的所有权限。用户可在对应的资源范围内进行操作。
授权操作路径
在智算云平台控制台的用户管理、用户组管理、权限策略管理界面均可完成授权操作。下图展示每种操作路径:
路径选择原则:
| 场景 | 推荐路径 | 原因 |
|---|---|---|
| 新员工入职 | 用户为中心 | 作为租户超级管理员,需要为个人配置特殊权限、临时权限 |
| 团队权限调整 | 用户组为中心 | 作为租户超级管理员,需要调整用户组构成,批量管理团队权限 |
| 权限审计检查 | 策略为中心 | 作为租户超级管理员,需要明确了解策略的定义、设计自定义策略、调整策略间权限分布、了解各个策略的使用情况 |
撤销权限
撤销权限会立即生效,请谨慎操作,避免影响正常业务。
以下操作会导致用户失去权限(即撤销或减少其可用权限):
- 移除直接授予的权限策略:为用户或用户组取消已分配的权限策略。
- 修改授权范围为更小范围:将原本较大范围(如"租户下所有")的授权范围,调整为更小的范围(如"我的"或"指定资源池")。
- 将用户移出用户组:用户将不再继承该用户组的所有权限。
- 删除用户组:该组下所有成员将失去通过该组继承的权限。
- 在用户组中移除权限策略:组内所有成员将失去该策略对应的权限。
- 禁用或删除权限策略:所有被分配该策略的用户/用户组将失去相关权限。
- 禁用用户账号:被禁用的用户无法登录和使用任何权限。
- 调整策略内容,收紧操作权限:修改自定义策略,减少可执行的操作(如去除"删除"、"管理"等权限),所有被分配该策略的用户/用户组权限随之减少。
配置存储权限
存储权限分为操作权限和挂载权限。针对非管理员用户,两者都必须配置。
- 对存储文件系统和存储卷的操作权限:可通过「授权策略+授权范围」控制用户/用户组对存储文件系统、存储卷的允许操作和可操作资源范围。
- 对存储卷的挂载权限:控制用户/用户组在创建负载时(开发机/推理服务/任务等),是否可挂载存储卷、是否可对存储卷进行读写。
提示
推荐:如果是首次为团队配置存储权限,请参考 快速入门:为团队配置共享高性能存储,可在 15 分钟内完成从购买到授权的完整配置。
初次配置时,建议按照流程先后配置操作权限和挂载权限,详见配置存储权限。
常见问题
为什么我无法为用户授权?
如果授权操作失败或按钮不可用,请检查:
- 您的权限:确认您是租户超级管理员,或已具备授权权限。如果按钮显示为灰色或提示"无权限",请联系租户超级管理员。
- 用户状态:在用户管理页面确认目标用户存在且账号状态为"正常"。已禁用或已删除的用户无法授权。
- 策略可用性:确认选择的权限策略未被禁用。在策略管理页面查看策略状态。
- 授权范围配置:如果授权范围选择后无法保存,检查是否选择了有效的资源池、可用区或项目。
为什么用户无法使用开发机?
如果用户无法使用开发机,可能的原因包括:
- 授权范围配置问题:如果用户所有的权限策略的授权范围为「我的」,则用户无法使用包年包月资源池、共享资源池、专属资源池的算力资源创建开发机。
- 资源管理服务的「授权范围」配置决定了用户是否可使用指定资源池(包年包月资源池、共享资源池、专属资源池)中计算资源或租户下所有计算资源创建自己的负载。当授权范围为「我的」时,用户无法访问上述资源池。
- 账户余额问题:使用弹性资源创建开发机需要账户余额支持。如果账户余额不足,用户无法使用弹性资源池的算力资源创建开发机。
- 资源池权限不足:检查用户是否有权限访问目标资源池。
- 策略配置错误:确认用户是否被分配了正确的权限策略。
用户授权后权限不生效怎么办?
如果用户反映授权后仍然无法访问资源,按以下步骤排查:
- 确认授权操作成功:在用户详情页的"权限管理"标签页,确认策略已显示在列表中,且授权范围配置正确。
- 要求用户重新登录:权限变更需要用户重新登录才能生效。请用户退出登录后重新登录平台。
- 验证授权范围:确认授权范围包含用户需要访问的具体资源。例如:
- 如果用户需要使用"广东B-A100"资源池的计算资源创建开发机,资源管理服务的「授权范围」配置必须包含该资源池,不能只配置"我的"。
- 如果用户需要对使用"广东B-A100"资源池计算资源创建的开发机进行操作(例如删除、关机等,具体由授权策略中的操作决定),该用户在一站式 AI 平台-开发机服务的授权范围必须包含该资源池,不能只配置"我的"。
- 检查权限叠加:如果用户同时属于多个用户组,确认是否有其他用户组的权限限制了访问。在用户详情页查看所有权限来源。
- 查看操作日志:如果问题持续,在审计日志中查看具体的权限检查结果,确认系统是否拒绝了操作请求。
撤销权限后用户仍然有权限怎么办?
如果撤销权限后用户仍然可以访问资源,通常是因为用户通过其他途径获得了相同权限:
- 检查用户组权限:在用户详情页的"权限管理"标签页,查看"权限来源"列。如果显示"通过用户组继承",说明用户通过其他用户组获得了相同权限。需要将该用户移出相关用户组,或在用户组中移除该策略。
- 检查直接授权:如果用户有直接授予的权限策略,需要单独撤销。撤销用户组权限不会影响直接授予的权限。
- 确认撤销操作:在用户详情页确认策略已从权限列表中移除。如果仍然显示,可能是操作未成功保存。
- 要求用户重新登录:权限变更需要用户重新登录才能生效。
为什么无法撤销超级管理员权限?
系统保护机制确保至少保留一个超级管理员:
- 如果是最后一个超级管理员,无法撤销
- 需要先为其他用户授予超级管理员权限
我想让每个用户账号(子账号)最多使用 1 张 GPU 卡,怎么配置?
平台暂不提供用户级别的 GPU 配额控制。您可以在团队自行约定,每人在创建负载时仅使用 1 卡的算力规格。