一、行云管家中如何实现精细化的权限管理
行云管家是一种基于团队协作的工作模式,很自然的,我们需要通过权限控制来约束团队成员的行为,以实现安全运维的需要。行云管家采用基于角色、部门、成员的访问控制模型来实现权限控制,具体来说,是将授权模型划分为功能授权和资源授权两个维度,在两个维度基础上进行对象授权(角色、部门、成员),将这两种权限授权给团队中的某成员或他所在的角色、部门时,该成员便自动拥有了所被授予的各项权限。
1.1、授权对象原理
行云管家采用角色、部门、成员来作为授权对象,对功能、资源等进行授权。可以把成员加入到角色或者组织架构的相关部门里,然后基于这三种授权对象进行功能、资源授权。成员最终拥有的权限为该成员所在的角色、部门以及成员自身拥有的权限的总和。
1.2、功能权限原理
除了可以授权给团队成员,在基于角色、部门的访问控制模型中,我们还可以把功能权限赋予角色或部门,再把该成员加入到相关角色或部门里。以角色为例,团队成员和角色,角色和功能权限都是多对多的关系。团队成员拥有的功能权限等于该成员所在的角色持有功能权限之和。
1.3、资源权限原理
在行云管家中,资源授权中资源指的是导入到行云管家中的主机/服务器、数据库、对象存储Bucket、CDN加速域名等资源,在授权时,用户可以非常灵活的进行资源授权,既可以云账户(什么是云账户?)为单位进行整体授权,也可以云账户下某个区域/专有网络以物理网络的形态进行授权,甚至将云账户下的部分资源放到一个分组中,对该分组进行授权。和功能授权一样,我们把资源权限赋予授权对象。团队成员拥有的资源权限等于该成员所在的角色、所在的部门以及成员自身持有资源权限之和。
(1)云账户授权
一个角色、部门或成员如果获得了某个云账户(可以理解为整个局域网)授权后,将默认拥有该云账户中所有资源的权限,在获得导入主机、数据库的功能权限前提下,可以向该云账户中导入主机、数据库;
(2)物理网络授权
物理网络(可以理解为局域网内的某个网段,或者公有云下的VPC)授权只能获得云账户中某个区域/专有网络中的资源权限,如果网络中有新资源导入,可以动态的自动获得新资源的权限;
(3)主机、数据库授权
可以对云账户以及物理网络中的每台主机、数据库进行单独资源授权;
(4)分组授权(推荐使用)
分组授权是非常精细的资源授权,分组由管理员手工创建,可以将云账户中的部分物理网络、主机资源、数据库资源、CDN、Bucket添加到这个分组中。通过分组授权就可以将某几台主机/服务器或数据库授权给某几个团队成员。
我们已经初步了解行云管家的精细化权限管理模型,现在来学习一下具体的操作攻略吧!
二、功能授权操作
前文中已经介绍了行云管家授权模型原理和角色、部门等的管理操作,当您需要修改某功能项的授权时,只需在功能授权页面将相应角色、部门或成员添加到相应的功能权限项即可完成。
2.1、查看功能授权
进入“团队管理/权限管理”,点击“功能授权”页签。在这里列出了行云管家全部功能权限项,您可以通过设置操作对角色、部门或成员进行功能授权。
2.2、功能授权设置
除了“团队拥有者保留权限”之外,用户均可修改该权限项的授权。选择一个权限项,点击右侧的“设置”,打开功能授权对话框。
这里可以看到,可以授权的授权对象为角色、组织单元(部门)、团队成员。需要注意的是,如果您勾选了“所有成员”,那么整个团队里的所有成员都将会有该权限。
2.3、导航菜单权限模块
对所有导航菜单的“查看”权限进行控制;
导航菜单我们可以通过上图进行权限控制,设置授权对象能否看到这些导航菜单及页面;
