授权配置指南
本文档介绍如何在权限管理系统中进行授权管理,包括为用户和用户组授权策略、撤销权限等操作。
授权核心机制
重要
授权核心机制:成功的授权需要同时配置授权策略(定义可执行的操作)和授权范围(定义可操作的资源)。缺少任何一个组件,权限都不会生效。核心概念请参考 身份与访问管理。
快速配置:团队资源隔离
注意
最常见场景:为不同团队分配独立的资源池或项目权限,实现团队间资源隔离。
三步配置流程
第一步:规划用户组
根据组织架构创建用户组,访问用户组列表页面创建用户组。
示例组织架构 → 用户组设计
├── 研发部
│ ├── 算法团队 → 创建"算法组"用户组
│ └── 工程团队 → 创建"工程组"用户组
└── 产品部
└── AI产品团队 → 创建"AI产品组"用户组第二步:为用户组授权
访问用户组列表,选择用户组,点击授权,为每个用户组分配对应的策略和范围:
| 用户组 | 策略 | 授权范围 | 获得权限 |
|---|---|---|---|
| 算法组 | AI Studio 开发者 | 指定资源池(GPU-A) + 存储卷(租户下所有或指定) | 在GPU-A池创建开发实例 |
| 工程组 | AI Studio 开发者 | 指定资源池(GPU-B) + 存储卷(租户下所有或指定) | 在GPU-B池创建开发实例 |
| AI产品组 | Gen Studio 用户 | 租户下所有 | 使用所有AI模型服务 |
详细操作步骤请参考用户组管理指南。
第三步:添加团队成员
访问用户组列表,选择用户组,点击添加用户,将用户批量加入对应用户组。
提示
结果验证
用户加入用户组后,立即获得该组的所有权限。用户可在对应的资源范围内进行操作。
常见配置模板
开发团队隔离
用户组:前端组、后端组、算法组
策略:AI Studio 开发者
范围:指定资源池(不同GPU池)项目团队隔离
用户组:项目A组、项目B组
策略:AI Studio 开发者
范围:指定资源(项目专用实例)权限等级隔离
用户组:普通开发者组、高级开发者组
策略:不同等级的开发者策略
范围:租户下所有用户和用户组授权操作
授权实质 = 选权限策略 + 选授权范围 → 保存。
| 授权入口 | 适用场景 | 路径 |
|---|---|---|
| 用户详情页 | 为单个用户增加/调整权限 | 用户管理 → 目标用户 → 权限管理 → 添加权限 |
| 用户组详情页 | 批量授权、角色模板 | 用户组管理 → 目标组 → 权限管理 → 添加权限 |
| 策略详情页 | 从策略视角批量授权 | 策略管理 → 目标策略 → 授权记录 → 授权 |
授权操作路径
从智算云平台控制的用户管理、用户组管理、权限策略管理界面均可完成授权操作。下图分别突出展示每种操作路径:
路径选择原则
| 场景 | 推荐路径 | 原因 |
|---|---|---|
| 新员工入职 | 用户为中心 | 作为租户超级管理员,需要为个人配置特殊权限、临时权限 |
| 团队权限调整 | 用户组为中心 | 作为租户超级管理员,需要调整用户组构成,批量管理团队权限 |
| 权限审计检查 | 策略为中心 | 作为租户超级管理员,需要明确了解策略的定义、设计自定义策略、调整策略间权限分布、了解各个策略的使用情况 |
撤销权限操作
以下操作会导致用户失去权限(即撤销或减少其可用权限):
- 移除直接授予的权限策略:在用户详情页或用户组详情页,删除某条已分配的权限策略。
- 修改授权范围为更小范围:将原本较大范围(如“租户下所有”)的授权范围,调整为更小的范围(如“我的”或“指定资源池”)。
- 将用户移出用户组:用户将不再继承该用户组的所有权限。
- 删除用户组:该组下所有成员将失去通过该组继承的权限。
- 在用户组中移除某条权限策略:组内所有成员将失去该策略对应的权限。
- 禁用或删除权限策略:所有被分配该策略的用户/用户组将失去相关权限。
- 禁用用户账号:被禁用的用户无法登录和使用任何权限。
- 调整策略内容,收紧操作权限:修改策略定义,减少可执行的操作(如去除“删除”、“管理”等权限),所有被分配该策略的用户/用户组权限随之减少。
注意
撤销权限操作会立即生效,请谨慎操作,避免影响正常业务。
授权范围定义
智算云平台权限管理系统定义了以下授权范围。
我的
- 含义:用户只能管理自己创建的资源,无法操作其他资源
- 适用场景:个人资源管理
- 权限范围:最小权限范围
指定资源池
- 含义:用户可以在指定的资源池中执行授权策略中定义的操作
- 适用场景:部门或项目资源管理
- 权限范围:中等权限范围
指定资源
- 含义:用户可以针对特定的资源(例如某台开发机的 ID)执行授权策略中定义的操作
- 适用场景:精确的资源权限控制
- 权限范围:精确权限范围
租户下所有
- 含义:用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制
- 适用场景:管理员或高级用户
- 权限范围:最大权限范围
可用区(存储服务/镜像服务专用)
- 含义:限制在特定可用区的存储资源
- 适用场景:存储服务/镜像服务的地域限制
- 权限范围:地域限制范围
配置存储相关权限
存储权限分为操作权限和挂载权限。针对非管理员用户,两者都必须配置。
- 操作权限:可通过「授权策略+授权范围」控制用户/用户组对存储文件系统、存储卷的增删改查操作权限。
- 挂载权限:控制用户/用户组在创建负载时(开发机/推理服务/任务等),是否可挂载存储卷、是否可对存储卷进行读写。
Step 1 授权用户对存储的操作权限
智算云平台通过「授权策略+授权范围」控制所有存储操作权限。
- 租户管理员:允许对存储执行所有操作。
- 非管理员:默认仅能查看存储卷,无法创建存储卷或对存储卷进行管理。可通过「授权策略+授权范围」控制用户对存储的增删改查操作权限。
在使用内置系统策略或自定义策略对用户/用户组授权时,找到以下服务:
- 存储-文件系统:控制用户/用户组。
- 存储-存储卷:控制租户下的存储卷对用户的可见性、可用性。
提示
建议点击展开「存储-文件系统」和「存储-存储卷」服务,以显示服务所含操作。这样您可以在授权时了解当前策略中包含的查询类、更新类操作具体细节。例如,「存储-存储卷」中包含“获取存储卷列表、获取存储卷用户读写列表、获取存储卷用户组读写列表”操作,假设您配置的授权范围为「租户下所有」,则被授权的用户/用户组可以查看所有存储卷,并可以查看所有存储卷的读写用户/用户组。
在「授权范围」中,配置各个存储服务的可选授权范围。
- 「存储-文件系统」的可选授权范围: 指定可用区、租户下所有
- 「存储-存储卷」的可选授权范围: 我的、指定资源、所选文件系统下所有
Step 2 管理用户对存储卷的挂载和读写权限
租户可以批量修改用户/用户组的读写权限。「修改挂载权限」操作仅影响用户在使用实例(开发机、推理服务、任务、AICoder)时,是否允许读写实例上挂载的存储卷。
访问智算云平台的「高性能存储」管理页面。
点击文件系统名称,进入文件系统详情页,页面默认展示存储卷管理标签页。点击存储卷右侧操作栏管理挂载权限,可以批量修改用户/用户组的挂载权限。
- 读写:用户/用户组具有对存储卷的读写权限。在创建负载时,用户可挂载该存储卷,并指定具体负载对该存储卷的读写行为,最高权限为读写。
- 只读:用户/用户组具有对存储卷的只读权限。在创建负载时,用户可挂载该存储卷,并指定具体负载对该存储卷的读写行为,最高权限为只读。
- 无:用户/用户组无法读取该存储卷。在创建负载时,用户无法在可挂载列表中看到该存储卷。
注意
用户组是一种方便的批量授权方式。详见用户账号与权限管理。
常见问题
为什么我无法为用户授权?
请检查以下条件:
- 确认您有执行授权操作的权限
- 检查目标用户是否存在且状态正常
- 确认选择的策略是否可用
- 验证授权范围配置是否正确
如果用户所有的权限策略的授权范围为「我的」,为什么用户无法使用开发机?
如果用户所有的权限策略的授权范围为「我的」,则用户无法使用任何资源池的算力资源创建开发机。
用户授权后权限不生效怎么办?
请按以下步骤排查:
- 确认授权操作是否成功完成
- 检查用户是否重新登录
- 验证授权范围是否包含目标资源
- 查看审计日志确认权限检查结果
撤销权限后用户仍然有权限怎么办?
可能的原因和解决方法:
- 用户可能通过其他用户组拥有相同权限
- 检查用户的所有权限来源
- 确认撤销操作是否成功
- 建议用户重新登录刷新权限
为什么无法撤销超级管理员权限?
系统保护机制:
- 系统确保至少保留一个超级管理员
- 如果是最后一个超级管理员,无法撤销
- 需要先为其他用户授予超级管理员权限
如何高效地为多个用户配置相同权限?
建议使用用户组方式:
- 创建角色用户组
- 为用户组配置权限策略
- 将用户批量加入用户组
- 实现权限的批量管理
批量权限变更对用户有什么影响?
批量权限变更的影响:
- 权限变更会立即生效
- 用户可能需要重新登录
- 建议在业务低峰期执行
- 提前通知受影响的用户
如何选择合适的授权范围?
选择授权范围的建议:
- 遵循最小权限原则
- 根据用户的实际工作职责
- 考虑业务安全要求
- 可以从小范围开始,逐步扩展
不同授权范围的权限会冲突吗?
不会冲突:
- 系统采用权限叠加模式
- 用户的最终权限是所有权限的并集
- 相同操作的不同范围会取最宽泛的范围