用户组管理指南
本文档介绍用户组的创建、成员管理和权限配置等核心操作。
提示
用户组适合批量管理相同岗位的用户权限。如需了解核心概念,请先阅读 身份与访问管理。
权限要求
默认仅超级管理员可创建、编辑用户组和管理用户组权限。
快速开始
用户组是权限管理中的一个重要概念,用于批量管理用户权限。用户组可以包含多个用户。用户动态继承用户组的权限策略。
用户组让您能够:
- 批量权限管理:一次配置,多用户生效
- 组织架构映射:按部门、项目创建权限分组
- 动态权限更新:用户组权限变更自动同步给所有成员
创建用户组
您可以在用户组列表页面创建用户组。
访问智算云控制台,点击用户头像,找到访问控制,点击用户组。
点击创建用户组,填写用户组名称和描述,点击创建。以下是一些命名建议。
- 按部门:
研发部-开发组、运维部-管理组 - 按角色:
AI平台-开发者、大模型-使用者 - 按项目:
项目A-核心团队、临时-外包团队
提示
您可以在用户组名称直接拼接预期的授权范围,例如自定义用户组名为「算法部-宁夏B资源池」,后续为用户组授权时,将授权范围固定为该指定资源池,方便您后续快速通过用户组名称查看具体授权范围。
- 按部门:
管理用户组成员
在用户组列表页,或用户组详情页,点击添加用户,可添加用户到用户组,或从用户组移除用户。
警告
移除用户后,该用户立即失去通过该用户组获得的所有权限。
配置用户组权限
您可以在用户组列表页面,或用户组详情页,为用户组配置「权限策略」和「授权范围」。
提示
您可以将用户组配置为可复用的 权限策略+授权范围 容器。后续用户加入、离开用户组,将直接获取用户组上配置的操作权限和授权范围。这种设计方式下,为同一策略使用不同范围,需建立多个用户组。
为用户组授权
在用户组列表页,点击添加权限;或进入用户组详情页,切换到权限管理页签,点击添加权限。
选择权限策略(可多选)。权限策略仅定义允许用户执行的增删改查操作动作。如果内置系统策略无法满足您的需求,您可以前往策略管理页创建自定义策略。
点击展开权限策略,可以配置本次授权操作的「授权范围」:
- 我的:授权后,用户只能管理自己创建的资源,无法操作其他资源
- 指定资源池:授权后,用户可以在指定的资源池中执行授权策略中定义的操作
- 指定资源:授权后,用户可以针对特定的资源(例如某台开发机的 ID)执行授权策略中定义的操作
- 租户下所有:授权后,用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制
- 可用区:(存储服务/镜像服务专用)限制在特定可用区的资源
注意
授权范围详细说明请参考 核心概念 - 授权范围。
检查配置无误后点击确认。
管理用户组现有权限
进入用户组详情页,切换到权限管理页签,可管理用户组现有权限:
- 编辑授权范围:调整已有策略的授权范围
- 解除权限:移除不需要的策略授权
注意
权限变更立即同步到用户组的所有成员。
常见问题
如何快速判断是策略问题还是范围问题?
- 用户详情 → 权限管理:确认策略是否存在。
- 查看来源用户组 → 检查该组中策略的授权范围。
- 如需调整,编辑组权限或范围后重试。
可以创建多少个用户组?
无硬性限制,建议控制在 50 个以内。重点关注实际使用价值。
用户可以加入多少个用户组?
无数量限制,权限会进行叠加。建议根据实际职责合理分配。
用户组权限和直接授权冲突怎么办?
系统采用权限叠加模式,用户最终权限是所有权限的并集。详见 权限验证机制。
如何批量修改用户组权限?
在用户组详情页直接修改权限策略,变更会自动同步到所有成员。
用户组权限变更会通知用户吗?
系统不会自动通知,建议提前沟通重要权限变更。
如何设计合理的用户组结构?
建议:
- 按组织架构设计基础用户组
- 按岗位职责设计角色用户组
- 按项目需求设计临时用户组
- 避免层级过深或过于复杂