为单个用户授权
当只需要为一个成员临时放行、处理个人例外,或排查某个用户的权限来源时,从用户详情页授权。若多名成员需要同一套权限,请改用使用用户组批量授权。
开始前确认用户状态和授权目标
授权前先确认三件事,避免给错策略或范围。
- 用户账号状态正常,且仍属于当前租户。
- 用户需要执行哪些具体操作。
- 这些操作应该限制在哪些资源范围内。
如果还不确定策略和范围的关系,请先阅读理解策略和授权范围。
查看用户已有权限来源
在用户详情页的 权限管理 标签页,先查看用户当前权限,再决定是新增授权、调整范围,还是回收多余权限。
用户权限来源分为两类:
- 直接授予权限:直接分配给该用户的策略和范围,可在用户详情页编辑或撤销。
- 继承用户组权限:用户通过用户组获得的策略和范围,需要到对应用户组调整。
直接为用户添加临时或个人权限
直接授权适合单人临时放行、个人例外或排障。长期岗位权限应尽量放在用户组中维护。
- 在用户列表页进入用户详情页。
- 打开 权限管理。
- 在 直接授予权限 中点击 添加权限。
- 选择权限策略。
- 展开每个策略,配置本次授权范围。
- 保存后,让用户重新登录或刷新页面再测试。
调整直接授权的资源范围
当用户已有正确策略,但无法操作目标资源,或可操作范围过大时,优先检查授权范围。
- 在用户详情页打开 权限管理。
- 找到目标直接授权记录。
- 点击 编辑授权范围。
- 调整范围后保存。
- 回到用户详情页确认策略和范围符合预期。
范围只限制对象,不会增加策略中没有的操作。如果策略本身不包含目标操作,请调整策略,而不是扩大范围。
通过用户组调整继承权限
如果权限来自用户组,不要只在用户详情页查找直接授权。进入来源用户组后,再调整成员、策略或范围。
- 让用户获得某个团队权限时,将用户加入承载该权限的用户组。
- 回收用户从某个组继承的权限时,将用户移出该用户组。
- 收紧整个团队的资源范围时,在用户组详情页编辑授权范围。
- 回收整个团队的某项能力时,在用户组详情页解除对应策略。
修改用户组会影响组内所有成员。只想影响一个用户时,请先判断是否应该改用直接授权或单独用户组。
回收用户权限并检查其他允许路径
回收权限时,同时检查直接授权和继承用户组权限。平台按并集计算最终权限,只撤销一条允许路径后,用户可能仍然可以操作目标资源。
- 在用户详情页查看直接授权和继承用户组权限。
- 撤销不再需要的直接授权。
- 对继承权限,移出对应用户组,或调整用户组策略和范围。
- 让用户重新登录或刷新页面后再验证。
如果用户离职或转岗,还需要处理账号登录、资源转移和注销。请参见创建和维护用户账号。
常见问题
以下问题适合在排查单个用户权限时快速定位方向。如果问题影响一组成员,请优先回到用户组页面检查组权限。
用户权限配置后不生效怎么办?
先在用户详情页确认目标策略已经出现,再展开策略检查是否包含用户要执行的操作,最后检查该条授权范围是否覆盖目标资源。刚调整过权限时,让用户重新登录或刷新页面后再测试。
例如,用户已经获得“开发机只读”策略,但授权范围只覆盖资源池 A,那么打开资源池 B 中的开发机详情仍会失败。此时不要只确认“有策略”,还要确认这条策略对应的范围是否覆盖目标开发机。
如何查看用户通过用户组获得了哪些权限?
在用户详情页的 权限管理 中查看 继承用户组权限。该区域会显示用户通过用户组获得的策略、来源用户组,以及每条策略对应的授权范围。
例如,用户同时属于“项目 A 只读”和“项目 B 运维”两个用户组时,请分别展开两条继承权限,确认每条策略来自哪个用户组,以及范围分别覆盖项目 A 还是项目 B。
两个用户的权限几乎一样,应该用用户组还是直接授权?
如果两个用户长期承担相同职责,优先加入同一个用户组。只有少量个人例外时,再为其中一个用户添加直接授权。最终权限会按直接授权和用户组继承权限的并集计算。