腾讯云数据工厂用户系统及权限设置

在系统配置模块,进入数据工厂的用户系统管理。

数据工厂的用户系统用来管理用户(user)和用户组(group),用户组就是一组用户的集合。他们都是权限分配的单位与载体,也就是在其他模块中进行权限管理时,都是授权给用户或者用户组的。用户分为管理员和普通用户,区别是管理员可以增、删、改、查任意的用户或者用户组。

腾讯云的账号与数据工厂用户

腾讯云的账号与数据工厂用户是一一对应的,但是权限是独立的。

  • 数据工厂系统中的管理员角色与IAM中为用户赋予的服务管理权限是无关的,IAM中为子用户赋予的管理权限仅仅是数据工厂服务集群的管理权限,与数据工厂内部的管理员权限无关。
  • 主账号默认为数据工厂的管理员,其他所有子用户账号(即使在IAM中被赋予全部权限),子用户账号在进入数据工厂之后,均初始化默认为普通用户。
  • 主账号和在IAM中配置了服务查看和服务使用权限的子用户具备进入数据工厂产品界面的权限。只具备服务查看而不具备服务使用权限的子用户仅仅可以在Console集群列表中看到数据工厂,并不能进入数据工厂系统。
  • 腾讯云在登陆控制台的时候的主账号有腾讯云账号和云账号两种,而主账号和子用户账号可以同名,因此在数据工厂系统中,为了避免主账号和子用户账号可能重名的情况,数据工厂用户对云账号添加了前缀。前缀为PASSPORT代表腾讯云账号,前缀为UC代表云账号,前缀为BCEPASS代表子用户,数据工厂用户为登陆类型的前缀加用户名所构成。
  • 在数据工厂系统中用户管理界面,用户可以手动添加用户(普通用户或管理员),前提是该用户具备访问此数据工厂系统的权限,直接登陆进入数据工厂系统之后的用户也会被自动添加到数据工厂的用户列表(普通用户角色)。
  • 用户可以被移除,但是仅仅是从数据工厂系统的用户列表被删除,如果是管理员,则删除管理员身份。但是如果该用户还存在于IAM的子用户且具备访问数据工厂系统的权限,则该用户还可以重新进入数据工厂系统(普通用户)。
  • 管理员之间可以互相移除管理员身份,管理员不能自己移除自己。

用户管理

只有数据工厂系统的管理员拥有用户管理模块的权限,可以进行用户管理。

添加管理员

用户管理主要是提供给管理员新增管理员所用,用户管理列表的用户有管理员和普通用户两种身份,管理员在初始化状态只有一个,即服务创建者(主账号),如果需要添加其他管理员,主账号点击“添加管理员”可以进行添加,选择角色为“管理员”,如果需要添加的子用户具备使用数据工厂的权限,则添加成功,新增的用户也具有系统管理员身份。否则添加失败,需要先进入IAM配置用户具备访问数据工厂的权限。

移除管理员

管理员列表的“移除”操作可以将用户的管理员身份移除,移除之后,管理员会从用户列表页删除,并同时删除其管理员角色,下次登陆的时候,该用户将不再是数据工厂的管理员,而会变成普通用户的身份。

管理普通用户

除了添加管理员,管理员还可以管理用户,只有具备数据工厂访问权限的用户才会出现在此列表,管理员可以从中选择进行角色变更。

移除普通用户

普通用户列表的“移除”操作可以将用户从普通用户列表移除,但是,如果该用户在IAM中还存在且具备访问该数据工厂系统的权限,用户将可以重新登陆进入之后,会再次出现在普通用户列表。如果要永久删除用户需要在IAM中删除用户,再在数据工厂系统中移除。

用户组管理

点击"组管理"可进入用户组管理界面。如前所述,用户组和用户一样,在其他模块(比如文件系统、计算资源)中都是权限分配的单位与载体,使用用户组的优势是可以消除权限中管理员的单点瓶颈,将一个权限实体授予一个用户组后,只需要这个用户组的管理员控制成员的增、删,即可自动同步控制实体的权限,非常适合对于一个具体的团队授予某个实体的权限。用户组也可以指定管理员。如UC_数据工厂yu04为test_group的管理员,那么他可以控制该用户组成员的增、删。

标签