身份与访问管理
本章节将帮助新管理员快速理解和使用身份与访问管理系统的基本概念,涵盖用户账户管理、基于策略的权限管理和授权系统。
您将了解:
- 用户 / 用户组的基本概念
- 用户组如何支持批量操作和自动化管理
- 授权机制:「权限策略 + 授权范围」 = 有效权限
- 如何通过「权限策略 + 授权范围」实现对权限的精细化控制
用户账户
用户账户是系统的基本构建块,每个用户账户包含以下权限属性:
- 直接被授予的权限
- 通过加入用户组继承的权限
用户组
将具有相似职责的用户归为一组,统一管理权限,即为用户组。用户组可以映射组织架构,简化权限管理。用户组具有以下权限属性:
- 继承机制:用户会自动继承所加入用户组的所有权限
- 动态管理:用户加入或退出用户组时,权限会自动更新
- 权限叠加:用户的最终权限是直接授权和用户组权限的并集
权限模型说明
在本平台中,权限控制由两个核心概念共同构成:权限策略与授权范围。二者在作用上相互补充,最终决定用户实际可执行的操作权限。
权限策略(Policy)
权限策略用于定义允许执行的操作集合。
- 定义用户可以执行的具体操作(如:创建开发机、读取开发机列表、更新开发机名称、关闭开发机)。
- 权限策略只关心用户有权执行哪些操作?
- 权限策略不涉及这些操作作用在哪些对象上(如:某个资源池的开发机、某台开发机)。
权限策略规定可执行的动作集合(能做什么),但不决定用户能操作的对象范围。权限策略分为两类:
内置系统策略:为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,定义了一组增删改查操作集合。内置策略不可删除,不可修改。详见内置系统策略。
提示
例外情况:「超级管理员」为特殊策略,默认内置授权范围为「租户下所有」,即可以对租户下所有资源执行任何操作。
自定义权限策略:租户可自行定义允许执行的操作集合。详见创建自定义策略
授权范围(Scope)
授权范围用于定义允许操作的对象范围。
- 定义可以对哪些数据/资源执行操作?
- 授权范围不涉及可执行的具体操作。
- 在实践中,授权范围通常与用户的组织关系、资源归属关系等有关。
授权范围用于限定在授权策略的限制下,「用户」可操作的对象或资源集合。严格地说,授权范围决定了权限策略的生效范围。
常见授权范围范围如下:
| 授权范围 | 说明 | 适用场景 | 权限范围 |
|---|---|---|---|
| 我的 | 用户只能管理自己创建的资源,无法操作其他资源 | 个人资源管理 | 最小权限范围 |
| 指定资源池 | 用户可以在指定的资源池中执行授权策略中定义的操作 | 部门或项目资源管理 | 中等权限范围 |
| 指定资源 | 用户可以针对特定的资源(例如某台开发机的ID)执行授权策略中定义的操作 | 精确的资源权限控制 | 精确权限范围 |
| 租户下所有 | 用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制 | 管理员或高级用户 | 最大权限范围 |
| 可用区 | 限制在特定可用区的存储或镜像中心资源 | 存储服务/镜像服务的地域限制 | 地域限制范围 |
授权的过程
在平台上,每一次授权需要同时指定权限策略与授权范围:
- 选择一个权限策略:明确用户可以执行哪些操作。
- 选择一个授权范围:限定这些操作可以作用的对象或资源范围。
- 组合生效:只有当操作满足“被策略允许”且“对象在范围内”时,用户才真正具备执行该操作的权限。
反之,在平台执行权限判定时,平台同时应用权限策略与授权范围:
- 策略判定:确认该操作是否被权限策略允许;
- 范围判定:确认该对象是否在授权范围之内;
- 同时满足:仅当操作同时满足策略与范围的要求时,授权才得以生效。
提示
- 范围在授权时确定:每次授权都需要单独配置范围(可先授权用户组,再通过批量授权简化授权操作)
- 同一策略可配置不同范围:可以给不同用户授权相同策略但配置不同范围,例如,使用「一站式 AI 平台开发者」策略为 A、B 用户,但为 A 配置指定资源池「江苏 A」,为 B 配置「租户下所有」
- 权限叠加原则:用户的最终权限是所有授权的并集
操作方式
最简单的情况,在创建用户时,可一并完成权限和用户组配置。
智算云平台在用户界面中提供了多种权限配置入口,您可以根据场景选择合适的操作路径:
- 快速配置团队授权:团队资源隔离、快速配置。详见 快速配置团队权限。
- 用户管理:个人权限配置、问题排查。详见用户管理指南。
- 用户组管理:批量角色权限、组织架构映射。详见 用户组管理指南。
- 策略管理:权限审计、影响分析、自定义策略。详见 策略管理指南。
常见策略范围组合
| 角色/策略 | 推荐范围 | 典型用例 |
|---|---|---|
| 一站式 AI 平台开发者 | 指定资源池 | 项目开发者只能操作所属资源池 |
| 大模型服务平台使用者 | 我的 / 租户下所有 | 调用预置模型;平台体验账号 |
| Storage-开发者 | 我的 | 个人数据卷管理 |
提示
若需复用「策略+范围」组合,可创建用户组并授权对应策略+范围,再把用户加入该组。
授权机制可视化
示例说明:
- 策略:「一站式 AI 平台开发者」(包含创建/查看/删除开发机等操作)
- 范围:「指定资源池:项目A专用池」
- 结果:用户可以在项目A专用池中创建/查看/删除开发机,但无法操作其他资源池的开发机
常见问题
系统有多个地方可以进行授权,我应该在哪里操作?
不同入口适合不同场景:用户管理适合个人权限配置,用户组管理适合批量角色权限,策略管理适合权限审计。建议新手从用户视角开始。
用户无法访问某个资源,如何排查?
按以下顺序检查(基于策略+范围授权机制):
- 检查策略权限:用户是否有对应策略权限(直接授权或用户组继承)
- 检查授权范围:策略的授权范围是否包含目标资源
- 验证权限组合:确认策略中包含所需操作,且授权范围覆盖目标资源
提示
记住:策略定义操作,范围限制资源。两者缺一不可。
AIStudio 开发机的远程 SSH 登录是否需要额外授权?
开发机的远程 SSH 登录不受权限系统保护。请注意保护开发机的 SSH 密码或密钥,避免泄漏。
AIStudio 推理服务的外网访问 API 鉴权是否需要额外授权?
AIStudio 推理服务的外网访问不受权限系统保护。统一租户下的 API Key 均可鉴权成功。
为什么包年包月资源池下拉列表中没有任何资源池?
请联系超级管理员,检查您账号的对应权限策略(例如「一站式 AI 平台开发者」)的授权范围是否为「指定资源池」或「租户下所有」。
超级管理员权限无法删除怎么办?
系统至少需要保留一个超级管理员。请先创建其他超级管理员后再删除现有的。
策略和角色是一回事吗?
不完全等同。策略指「允许哪些操作」的定义集合;以「角色」作为策略名的内置系统策略可理解为平台预置的一组策略组合(便于快速使用)。自定义策略由租户自行定义操作集合。
授权范围(Scope/资源范围)能写进策略里吗?能做“策略自带范围”的角色吗?
不行。授权范围在授权时单独配置。策略定义操作,范围限定资源。特例:内置系统策略「超级管理员」默认带授权范围「租户下所有」。
用户遇到权限不足的问题,怎么快速判断是授权策略问题还是授权范围问题?
三步排查:
- 是否存在对应策略,可前往用户详情页,在权限管理标签下查看
- 策略是否包含所需操作,可点击授权策略左侧的箭头图标,展开查看策略所包含的操作
- 该授权对应的范围是否覆盖目标资源
多个来源(直接授权/用户组)叠加时,最终权限如何计算?有“拒绝优先”吗?
采用“并集、允许优先”的模型:只要任一路径允许且命中范围即放行。平台不提供显式“拒绝覆盖允许”。如需收紧,需逐一路径收紧或移除。
哪些能力不受权限系统保护(不走策略+范围)?
如 AIStudio 开发机远程 SSH、AIStudio 推理服务外网鉴权等。需按各服务安全最佳实践做额外防护(强密码/密钥、网络限制等)。
我该在“用户/用户组/策略”哪个入口做授权?
按目标选入口,可参考以下三条路径。
- 单人定制/排障 → 用户;
- 批量团队授权 → 用户组;
- 审计影响/自定义动作→ 策略。
以上入口均在访问控制页面中。
“策略+范围”的组合如何复用?
推荐用“用户组”承载:把策略+范围固化到组,后续只需加人/减人即可。若同一策略需多个范围,可建多个组分别承载。
如何选择合适的授权范围?
按收敛程度自小到大:我的 → 指定资源 → 指定资源池/可用区 → 租户下所有。优先选满足需求的最小范围,逐步扩展。