用户组管理指南
用户组是用于团队/批量授权的权限载体,将权限策略与授权范围预先配置在用户组上,成员加入/离开即可自动继承/回收对应权限。适合为一组用户按部门/项目统一配置权限;若只是为某个具体用户调整账号或权限,请前往用户管理。
提示
如需了解权限系统核心概念,请先阅读 身份与访问管理。
权限要求
默认仅超级管理员可创建、编辑用户组和管理用户组权限。
快速开始
用户组让您能够:
- 批量权限管理:一次配置,多用户生效
- 组织架构映射:按部门、项目创建权限分组
- 动态权限更新:用户组权限变更自动同步给所有成员
创建用户组
您可以在用户组列表页面创建用户组。
访问智算云控制台,点击用户头像,找到访问控制,点击用户组。
点击创建用户组,填写用户组名称和描述,点击创建。以下是一些命名建议。
- 按部门:
研发部-开发组、运维部-管理组 - 按角色:
AI平台-开发者、大模型-使用者 - 按项目:
项目A-核心团队、临时-外包团队
提示
您可以在用户组名称直接拼接预期的授权范围,例如自定义用户组名为「算法部-宁夏B资源池」,后续为用户组授权时,将授权范围固定为该指定资源池,方便您后续快速通过用户组名称查看具体授权范围。
- 按部门:
管理用户组成员
在用户组列表页,或用户组详情页,点击添加用户,可添加用户到用户组,或从用户组移除用户。
注意
- 移除用户后,该用户立即失去通过该用户组获得的所有权限。
- 若用户同时属于多个用户组,权限为并集;从某一用户组移除不会影响其在其他用户组获得的权限。
配置用户组权限
您可以在用户组列表页面,或用户组详情页,为用户组配置「权限策略」和「授权范围」。
提示
您可以将用户组配置为可复用的 权限策略+授权范围 容器。后续用户加入、离开用户组,将直接获取用户组上配置的操作权限和授权范围。这种设计方式下,为同一策略使用不同范围,需建立多个用户组。
为用户组授权
在用户组列表点击添加权限;或在用户组详情的权限管理标签页点击添加权限。
选择权限策略(可多选)。权限策略仅定义允许用户执行的增删改查操作动作。如果内置系统策略无法满足您的需求,您可以前往策略管理页创建自定义策略。
点击展开权限策略,配置本次授权操作的「授权范围」:
- 我的:授权后,用户只能管理自己创建的资源,无法操作其他资源
- 指定资源池:授权后,用户可以在指定的资源池中执行授权策略中定义的操作
- 指定资源:授权后,用户可以针对特定的资源(例如某台开发机的 ID)执行授权策略中定义的操作
- 租户下所有:授权后,用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制
- 可用区:(存储服务/镜像服务专用)限制在特定可用区的资源
注意
授权范围详细说明请参考 核心概念 - 授权范围。
检查配置无误后点击确认。
管理用户组现有权限
进入用户组详情页,切换到权限管理标签页,可管理用户组现有权限:
- 编辑授权范围:调整已有策略的授权范围
- 解除权限:移除不需要的策略授权
注意
权限变更立即同步到用户组的所有成员。
常见配置场景
为团队配置资源池权限
如果想让团队只使用特定资源池的计算资源,推荐使用用户组为中心的路径:
- 创建用户组:为每个团队创建独立的用户组(例如"算法组-广东B"、"算法组-宁夏B")
- 添加权限策略:在组内添加「一站式 AI 平台开发者」等策略
- 配置授权范围:
- 将资源管理服务的「授权范围」配置为指定资源池,选择目标资源池(如「包年包月资源池-广东B」或专属资源池)
- 配置开发机、任务、推理服务等服务的授权范围为指定资源池,选择相同的资源池
- 添加成员:将团队成员加入该组。此后只需修改组权限或成员即可批量生效
提示
- 命名建议:组名建议体现"职责 + 范围"(例如"算法组-广东B"),便于后续管理和审计
- 多团队场景:如果多个团队需要使用相同的策略但访问不同的资源池,为每个团队创建独立的用户组,在授权范围中指向各自的资源池即可
- 团队资源隔离:如果需要在多团队环境下实现算力资源隔离,建议配合专属资源池使用。将租户的包年包月资源按团队划分到不同的专属资源池,然后在用户组的授权范围中指定对应的专属资源池,即可实现团队间的资源隔离和配额管理。详见使用专属/共享资源池
临时权限管理
临时开通权限(临时白名单/临时放行)可通过用户组方式管理:
临时权限管理步骤:
- 创建临时用户组:创建名为"临时访问-XX"的用户组(例如"临时访问-项目A")
- 配置权限:为该用户组配置所需的权限策略和授权范围
- 添加成员:将需要临时权限的用户加入该用户组
- 到期处理:到期后,将用户移出该用户组,或直接删除该用户组
自动到期回收:平台当前不支持自动到期回收权限。建议:
- 在用户组名称中标注到期日期(例如"临时访问-项目A-2024-12-31")
- 配合外部日历或工单系统设置提醒
- 定期检查临时用户组,及时清理过期权限
只读权限场景:如果只想临时让某个团队"只读查看"特定项目资源,可以:
- 创建临时只读用户组(例如"工程组-临时只读")
- 在组内授权一站式 AI 平台只读用户内置系统策略(推荐),或创建自定义只读策略(去掉增删改操作)
- 配置授权范围指向目标项目资源
- 到期后移除该组或清理该策略授权
提示
平台内置的「一站式 AI 平台只读用户」策略已包含一站式 AI 平台所有服务的只读操作,可直接使用,无需手动创建自定义策略。
常见问题
如何快速判断是策略问题还是范围问题?
- 用户详情 → 权限管理:确认策略是否存在。
- 查看来源用户组 → 检查该组中策略的授权范围。
- 如需调整,编辑组权限或范围后重试。
可以创建多少个用户组?
无硬性限制,建议控制在 50 个以内。重点关注实际使用价值。
用户可以加入多少个用户组?
无数量限制,权限会进行叠加。建议根据实际职责合理分配。
用户组权限和直接授权冲突怎么办?
系统采用权限叠加模式,用户最终权限是所有权限的并集。详见 授权的过程。
如何批量修改用户组权限?
在用户组详情页直接修改权限策略,变更会自动同步到所有成员。
用户组权限变更会通知用户吗?
系统不会自动通知,建议提前沟通重要权限变更。
如何设计合理的用户组结构?
建议:
- 按组织架构设计基础用户组
- 按岗位职责设计角色用户组
- 按项目需求设计临时用户组
- 避免层级过深或过于复杂
我被加到了一个用户组里,这意味着什么?
这意味着您自动获得了该用户组拥有的所有权限。您可以在控制台右上角点击头像图标,进入「访问控制」页面,点击当前用户进入详情页,在「权限管理」标签页下的「继承用户组权限」部分看到这些权限。
我应该为“权限策略”还是“授权范围”创建用户组?
最佳实践是围绕职责或资源集合来创建用户组。一个典型的用户组 = 一组人 + 一组操作权限(策略) + 一组资源(范围)。例如,您可以创建一个“算法实习生-训练区”用户组,其中包含了“算法开发策略”和“训练资源池”的范围。
如果一个用户属于多个组,一个组允许“删除”,另一个组不允许,他到底能不能删除?
他可以删除。系统权限模型采用“并集”和“允许优先”原则。只要有任何一个权限来源(无论是直接授予还是来自任何一个用户组)允许某个操作,用户就拥有该操作的权限。
我修改了用户组的权限,需要通知组内成员吗?
需要。系统不会自动通知。权限变更会立即生效,建议在执行重大变更(尤其是回收权限)前,与相关成员沟通。