身份与访问管理
权限管理系统为管理员提供全局的用户权限视角,支持通过用户组进行批量操作和自动化管理。同时,系统还支持通过「授权范围」提供对资源的精细化控制。管理员可以根据项目需要灵活调整权限策略,配置不同的操作权限和授权范围组合,优化资源使用和成本管理。
本章节将帮助新管理员快速理解和使用身份与访问管理系统,涵盖用户账户管理、基于策略的权限管理和授权系统。
提示
快速上手:阅读核心概念 → 查看团队配置示例 → 参考专题指南深入学习
控制台入口
点击下方直接进入访问控制页面。或访问智算云控制台,通过用户头像下拉菜单进入访问控制。访问控制页面包含身份管理(用户/用户组)、权限策略、SSH 公钥管理、API Key 管理。
核心概念
在开始具体操作之前,理解以下核心概念将帮助您更好地使用权限管理系统。这些概念是所有操作的基础。
用户账户
用户账户是系统的基本构建块,每个用户账户包含以下属性:
- 基本信息:用户名称、手机号、描述
- 登录凭证:登录账号、安全手机、密码
- 权限配置:直接被授予的权限,或者通过加入用户组继承的权限;此处均权限指「权限策略+授权范围」组合
- 资源关联:用户创建和管理的各类资源
- API Key:用于程序化访问的密钥
用户组
用户组是管理多个用户权限的有效方式,可以映射组织架构,简化权限管理:
- 用户组:将具有相似职责的用户归为一组,统一管理权限
- 继承机制:用户会自动继承所加入用户组的所有权限
- 动态管理:用户加入或退出用户组时,权限会自动更新
- 权限叠加:用户的最终权限是直接授权和用户组权限的并集
权限策略
权限策略用于控制智算云平台功能的使用权限,分为内置系统策略和自定义权限策略。为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,定义了一组增删改查操作集合。内置策略不可删除,不可修改。
注意
权限策略策略仅控制功能可用性,不涉及资源使用权限。使用权限策略对用户或用户组授权时,需要同时配置授权范围。用户可操作的资源由授权范围决定。
内置系统策略
权限策略用于控制智算云平台功能的使用权限,分为内置系统策略和自定义权限策略。为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,具有相应的功能/资源权限。内置策略不可删除,不可修改。
超级管理员:超级管理员拥有租户下所有资源和功能权限,包括用户管理、资源管理、账单管理等。租户下第一个用户默认为超级管理员。
一站式 AI 平台开发者:典型场景为允许用户账号在一站式 AI 平台(AIStudio)进行开发、部署。该类用户可自由使用开发机、推理服务、训练服务、镜像功能。该权限策略仅控制功能可用性。
大模型服务平台开发者:典型场景为允许用户账号在大模型服务平台(GenStudio)使用开发类服务。该类用户具有大模型服务平台使用者的所有权限;另外可创建微调任务、上传自有模型资源、部署大语言模型服务、托管 ComfyUI 工作流。
大模型服务平台使用者:典型场景为仅允许用户账号使用大模型服务平台(GenStudio)预置模型服务。该类用户可在 GenStudio 体验中心查看、筛选、使用平台预置模型;该类用户创建的 API Key 仅允许调用预置模型。
AI 容器服务开发者:典型场景为允许用户账号在 AI 容器服务(KubeStudio)进行开发、部署。该类用户可自由使用 AI 容器服务集群、AI 容器服务镜像、AI 容器服务任务。
自定义策略
当内置策略无法满足业务需求时,可创建自定义策略实现精细化权限控制。支持按服务配置操作权限(创建、删除、更新、查询),支持策略克隆和版本管理。
- 根据业务需要创建的个性化权限组合
- 支持精细化的权限控制
- 可以克隆现有策略进行修改,生成自定义策略
提示
自定义策略配置建议开放所有「查询」类权限,避免页面显示异常。详细创建步骤请参考 策略管理指南。
授权范围
授权范围决定了权限策略的生效范围,支持以下范围类型:
| 授权范围 | 说明 | 适用场景 | 权限范围 |
|---|---|---|---|
| 我的 | 用户只能管理自己创建的资源,无法操作其他资源 | 个人资源管理 | 最小权限范围 |
| 指定资源池 | 用户可以在指定的资源池中执行授权策略中定义的操作 | 部门或项目资源管理 | 中等权限范围 |
| 指定资源 | 用户可以针对特定的资源(例如某台开发机的ID)执行授权策略中定义的操作 | 精确的资源权限控制 | 精确权限范围 |
| 租户下所有 | 用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制 | 管理员或高级用户 | 最大权限范围 |
| 可用区 | 限制在特定可用区的存储资源 | 存储服务的地域限制 | 地域限制范围 |
信息
速查:常见"策略 + 范围" 组合
| 角色/策略 | 推荐范围 | 典型用例 |
|---|---|---|
| AIStudio-开发者 | 指定资源池 | 项目开发者只能操作所属资源池 |
| GenStudio-使用者 | 我的 / 租户下所有 | 调用预置模型;平台体验账号 |
| Storage-开发者 | 我的 | 个人数据卷管理 |
提示:若需重复使用"策略+范围"组合,可创建用户组并授权对应策略+范围,再把用户加入该组。
授权机制:策略 + 范围 = 有效权限
理解授权机制是权限管理的核心概念。成功的授权需要同时具备「权限策略」和「授权范围」两个要素:
授权的两个必要组件
权限策略(Policy):定义用户可以执行什么操作
- 例如:创建开发机、查看推理服务、删除任务等
- 这些操作权限在策略中被明确定义
授权范围(Scope):定义用户可以在哪些资源上执行操作
- 例如:我的资源、指定资源池、租户下所有资源等
- 授权范围限制了策略权限的生效边界
理解授权机制
- 策略本身不包含范围信息:策略只定义操作类型,不限制资源范围(例外,超级管理员策略默认包含所有「租户下所有」范围)
- 范围在授权时确定:每次授权都需要单独配置范围(可先授权用户组,再通过批量授权简化授权操作)
- 同一策略可配置不同范围:可以给不同用户授权相同策略但配置不同范围,例如,使用「一站式 AI 平台开发者」策略为 A、B 用户,但为 A 配置指定资源池「江苏 A」,为 B 配置「租户下所有」
- 权限叠加原则:用户的最终权限是所有授权的并集
重要
缺少权限策略或授权范围中的任何一个,授权都不会生效。这是权限管理系统中最容易混淆的概念,也是排查权限问题的关键要点。
授权过程
当管理员为用户/用户组授权时:
选择策略 (可执行的操作) + 配置范围 (可操作的资源) = 最终有效权限授权机制可视化:
示例说明:
- 策略:「一站式 AI 平台开发者」(包含创建/查看/删除开发机等操作)
- 范围:「指定资源池:项目A专用池」
- 结果:用户可以在项目A专用池中创建/查看/删除开发机,但无法操作其他资源池的开发机
权限验证机制
基于上述授权机制,系统按以下流程评估用户权限:
- 策略收集:收集用户直接授权的策略和通过用户组继承的策略
- 权限合并:将所有策略的权限进行合并
- 范围检查:根据授权范围判断是否可以操作目标资源
- 最终决策:允许或拒绝用户的操作请求
操作路径
智算云平台的权限配置用户界面提供了多入口多操作路径。您可以根据组织管理需求和场景选择合适的管理入口:
- 快速配置团队授权:团队资源隔离、快速配置。详见 授权配置指南。
- 用户管理:个人权限配置、问题排查。详见用户管理指南。
- 用户组管理:批量角色权限、组织架构映射。详见 用户组管理指南。
- 策略管理:权限审计、影响分析、自定义策略。详见 策略管理指南。
常见问题
系统有多个地方可以进行授权,我应该在哪里操作?
不同入口适合不同场景:用户管理适合个人权限配置,用户组管理适合批量角色权限,策略管理适合权限审计。建议新手从用户视角开始。
用户无法访问某个资源,如何排查?
按以下顺序检查(基于策略+范围授权机制):
- 检查策略权限:用户是否有对应策略权限(直接授权或用户组继承)
- 检查授权范围:策略的授权范围是否包含目标资源
- 验证权限组合:确认策略中包含所需操作,且授权范围覆盖目标资源
提示
记住:策略定义操作,范围限制资源。两者缺一不可。
AIStudio 开发机的远程 SSH 登录是否需要额外授权?
开发机的远程 SSH 登录不受权限系统保护。请注意保护开发机的 SSH 密码或密钥,避免泄漏。
AIStudio 推理服务的外网访问 API 鉴权是否需要额外授权?
AIStudio 推理服务的外网访问不受权限系统保护。统一租户下的 API Key 均可鉴权成功。
为什么包年包月资源池下拉列表中没有任何资源池?
请联系超级管理员,检查您账号的对应权限策略(例如「一站式 AI 平台开发者」)的授权范围是否为「指定资源池」或「租户下所有」。
超级管理员权限无法删除怎么办?
系统至少需要保留一个超级管理员。请先创建其他超级管理员后再删除现有的。