授权管理
授权对象简介

一、行云管家中如何实现精细化的权限管理

行云管家是一种基于团队协作的工作模式,很自然的,我们需要通过权限控制来约束团队成员的行为,以实现安全运维的需要。行云管家采用基于角色、部门、成员的访问控制模型来实现权限控制,具体来说,是将授权模型划分为功能授权和资源授权两个维度,在两个维度基础上进行对象授权(角色、部门、成员),将这两种权限授权给团队中的某成员或他所在的角色、部门时,该成员便自动拥有了所被授予的各项权限。

1.1、授权对象原理

行云管家采用角色、部门、成员来作为授权对象,对功能、资源等进行授权。可以把成员加入到角色或者组织架构的相关部门里,然后基于这三种授权对象进行功能、资源授权。成员最终拥有的权限为该成员所在的角色、部门以及成员自身拥有的权限的总和。

1.2、功能权限原理

除了可以授权给团队成员,在基于角色、部门的访问控制模型中,我们还可以把功能权限赋予角色或部门,再把该成员加入到相关角色或部门里。以角色为例,团队成员和角色,角色和功能权限都是多对多的关系。团队成员拥有的功能权限等于该成员所在的角色持有功能权限之和。

1.3、资源权限原理

在行云管家中,资源授权中资源指的是导入到行云管家中的主机/服务器、数据库、对象存储Bucket、CDN加速域名等资源,在授权时,用户可以非常灵活的进行资源授权,既可以云账户(什么是云账户?)为单位进行整体授权,也可以云账户下某个区域/专有网络以物理网络的形态进行授权,甚至将云账户下的部分资源放到一个分组中,对该分组进行授权。和功能授权一样,我们把资源权限赋予授权对象。团队成员拥有的资源权限等于该成员所在的角色、所在的部门以及成员自身持有资源权限之和。

(1)云账户授权

一个角色、部门或成员如果获得了某个云账户(可以理解为整个局域网)授权后,将默认拥有该云账户中所有资源的权限,在获得导入主机、数据库的功能权限前提下,可以向该云账户中导入主机、数据库;

(2)物理网络授权

物理网络(可以理解为局域网内的某个网段,或者公有云下的VPC)授权只能获得云账户中某个区域/专有网络中的资源权限,如果网络中有新资源导入,可以动态的自动获得新资源的权限;

(3)主机、数据库授权

可以对云账户以及物理网络中的每台主机、数据库进行单独资源授权;

(4)分组授权(推荐使用)

分组授权是非常精细的资源授权,分组由管理员手工创建,可以将云账户中的部分物理网络、主机资源、数据库资源、CDN、Bucket添加到这个分组中。通过分组授权就可以将某几台主机/服务器或数据库授权给某几个团队成员。

我们已经初步了解行云管家的精细化权限管理模型,现在来学习一下具体的操作攻略吧!

二、对象授权

无论是进行功能授权还是资源授权,最终都是授权给授权对象,在行云管家中,授权对象可以是成员,也可以是成员所在的角色,还可以是成员所在部门;

2.1、角色管理操作

在进行授权操作之前,您可以按照实际业务需求规划好相关角色,角色管理的入口位于团队管理中,进入“团队管理/权限管理”,即可查看“角色管理”。

(1)了解系统内置角色

行云管家内置了“团队拥有者”、“管理员”、“业务管理员”、“安全审计员”和“操作员”等几个基本角色,以及代表团队全部成员的“所有成员”这一特别角色,内置角色不可删除。

a)团队拥有者:团队拥有者默认拥有团队的完整管理权限,每个团队只允许拥有一个所有者,但团队拥有者可将此身份转移给其他团队成员。

  • 注意:团队拥有者默认不属于系统管理员角色,您可以把团队拥有者添加进系统管理员角色;

b)系统管理员:管理员是系统内置角色,不可删除,默认拥有大部分的业务及团队管理权限,用户也可根据需要修改该角色的授权。

c)业务管理员:业务管理员是系统内置角色,不可删除,默认拥有大部分的业务管理权限,用户也可根据需要修改该角色的授权。

d)安全审计员:安全审计员是系统内置角色,不可删除,默认可查看团队所有的审计与操作日志,用户也可根据需要修改该角色的授权。

e)操作员:操作员是系统内置角色,不可删除,默认拥有访问主机等基本操作的功能权限,用户也可根据需要修改该角色的授权。

f)所有成员:所有成员是系统内置角色,不可删除,将某个权限项授给该角色,意味着团队内所有成员都会拥有此权限

(2)查看角色成员

在角色列表中,我们可以看到每个角色均有“成员列表”,里面列出了该角色下的所有成员名单。

(3)添加角色成员

一个成员可以同时拥有多个角色身份,如果要为某个成员指定某个角色,只需用鼠标点击该角色的“添加成员”按钮,将该成员添加到该角色的成员列表中。

(4)添加新的角色

除了系统内置的几个角色外,您可以根据实际需要自定义新的角色,在“角色管理”页面点击“添加新角色”,填写角色名称及说明后,点击“添加”即可。

(5)修改和删除角色

对于用户自定义添加的角色,后期可对其进行修改和删除。将鼠标移动到角色名称所在表格的右上角,将出现修改角色名称和删除角色的图标,您可对角色进行修改或者删除操作。

(6)团队拥有者转移

行云管家允许转移团队拥有者身份,鼠标移到团队拥有者列表右上角,点击“转移身份”页签,进入编辑页面,选择需要转移的目标团队成员,点击“确定”完成身份转移。

注意:团队拥有者为整个团队的拥有者,请谨慎操作;

2.2、部门管理操作

在进行授权操作之前,您可以按照实际业务需求规划好相关部门,部门管理的入口位于“团队管理”中。

(1)开启部门管理功能

在“团队管理”的“团队成员”里,点击右上角的“组织架构视图”来开启或切换为组织架构视图。

(2)查看部门成员、添加新部门

开启组织架构视图后,可以在“团队成员”的“组织架构视图”里做以下操作:查看当前部门的成员、移动成员、添加新部门、删除部门、编辑部门名称等。

(3)部门授权管理

开启组织架构视图后,可以在“权限管理”里看到“部门授权管理”(没开启前是看不到的),可以在这里做以下操作:查看部门功能、云资源及分组授权情况,或在这里直接进行相关权限授权。

(4)移动部门成员

每个用户只能属于某个部门,不能同时属于多个部门,可以通过移动成员来把用户移动到其他部门;

三、导出用户权限明细

在“团队成员”这里,我们还可以导出用户权限明细,点击导出后可以在“任务中心”图标中点击查看,点击“下载”,来下载该明细报告,报告为excel格式文件;

3.1、用户资源权限

3.2、用户凭证权限