多用户访问控制
更新时间:2025-07-14
基本概念
文件存储CFS已经接入了百度智能云IAM平台,用户可以在IAM平台创建子用户,对云上业务进行细粒度管理和使用。
百度智能云IAM子用户有如下特点:
- 所有IAM子用户的资源都隶属于主用户。尽管某些权限的子用户可以创建资源,但计费主体依然是主用户。
- 子用户可以独立使用管理控制台和API。
- 主用户可以对子用户进行授权,在IAM里授权是通过给子用户关联策略来完成的,一个子账号可以关联多个策略。
IAM子用户应用场景
用户可以在百度智能云上通过主子用户体系,灵活使用CFS资源。
- 企业子用户管理与分权企业A使用百度智能云账号购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...),A的员工需要操作这些云资源包括购买、运维、线上应用等。不同岗位员工的工作职责不一样,需要的权限也不一样。出于安全考虑,A不希望将主账号的密钥直接公布给员工,而希望能给不同岗位员工创建相应的用户子账号。用户子账号只能在授权的前提下操作资源,不需要进行独立的计量计费,所有资源费用都归属主账号。A主账号随时可以撤销子账号的权限,也可以随时删除其创建的子账号。
- 企业之间的资源操作与授权管理A和B代表不同的企业。A购买了多种云资源(如BCC实例/CFS实例/BLB实例/BOS存储/...)来开展业务。A希望能专注于业务系统,而将云资源运维监控管理等任务委托或授权给企业B。企业B也可以进一步将代运维任务分配给B的员工,即B为其员工创建相应的用户子账号供其使用。B可以精细控制其员工对A的云资源操作权限。如果A和B的这种代运维合同终止,A随时可以撤销对B的授权。
策略说明
CFS在云上提供了系统策略和自定义策略两种策略模式。
系统策略,主用户对子用户授予后,子用户可对主用户名下所有CFS资源进行相应的操作能力,共有如下三种系统策略:
- CFSFullControlAccessPolicy:管理百度智能云文件存储服务(CFS)的权限。
- CFSOperateAccessPolicy:运维百度智能云文件存储服务(CFS)的权限。
- CFSReadOnlyAccessPolicy:只读百度智能云文件象存储服务(CFS)的权限。
三种系统策略对应的权限,与CFS的API对应关系如下:
系统策略 | 可操作API |
---|---|
管理 | CFS所有读操作API和写操作API |
运维 | CFS所有读操作API CFS部分写操作API,包括如下: |
只读 | CFS所有读操作API |
自定义策略,主用户可以为子用户授权自定义的只读和运维权限,或授权特定操作权限。支持的特定操作API如下:
操作类型 | 特定操作API |
---|---|
读操作 | DescribeCfs 查询cfs详情 |
GetCfs 获取cfs列表 | |
DescribeMountTarget 查询挂载点详情 | |
ListTagResource 查询标签关联的cfs资源 | |
更多读操作正在支持中.... | |
写操作 | CreateCfs 创建cfs |
DropCfs 删除cfs | |
UpdateCfs 更新cfs | |
UpdateTagAssociation 更新cfs标签 | |
CreateMountTarget 创建挂载点 | |
DropMountTarget 删除挂载点 | |
UpdateMountTarget 更新挂载点 | |
CreateAccessGroup 创建权限组 | |
DropAccessGroup 删除权限组 | |
UpdateAccessGroup 更新权限组 | |
CreateAccessRule 创建权限组规则 | |
DropAccessRule 删除权限组规则 | |
UpdateAccessRule 更新权限组规则 | |
RecoverBackup 恢复备份 | |
AddItemToShoppingCart 将存储包加入购物车 | |
更多写操作正在支持中.... |
操作步骤
- 点击右上角账户头像,选择选择多用户访问控制。
- 选择策略管理进入到策略管理页,点击创建策略。
- 如果想创建自定义的只读或运维等权限策略,请选择按策略生成器创建。在策略生成器页,设置策略名称、描述,在服务中选择文件存储CFS,设置权限效果(支持允许或拒绝)、操作(支持只读或运维)、资源、条件(支持time、ipAddress、sourceVpc)等。
- 如果想创建特定操作的权限策略,请选择按策略语法创建。在创建权限策略页,设置策略名称、说明、设置自定义策略内容。
Bash
1# 策略案例:禁止子用户删除CFS文件系统
2
3{
4 "id": "policy_ea5e180cf9c34ed9be78449d76765f4a",
5 "version": "v1",
6 "accessControlList": [
7 {
8 "service": "bce:cfs",
9 "region": "*", ## 地域,如bj、bd、*(所有地域)等
10 "resource": [
11 "*"
12 ],
13 "effect": "deny", ## 效果,如allow(允许)、deny(拒绝)
14 "permission": [ ## 操作,目前支持设置的特定操作API见 策略说明 章节
15 "DropCfs"
16 ]
17 }
18 ]
19}
- 完成创建后,在权限策略列表中,即可看到新创建的自定义策略。
- 在 用户管理-子用户 页,选择对应子用户,点击编辑权限,勾选希望授予子用户的权限,点击确定即可将权限赋予子用户。
- 如想删除子用户授权,操作同第4步,在已选策略中删除对应权限,点击确定即可将此权限从子用户权限中去掉。