作为主账号管理员,您可以为企业内的不同员工(如内容编辑、设计师、运营人员)创建子账号,并精细化地分配网站后台的操作权限。本文将指导您完成创建子账号并分配权限的完整流程。
通过员工权限管理,您可以实现如下操作:
员工管理:可以编辑职位、添加员工、编辑员工信息、删除员工等。
员工角色管理:可以创建不同角色(如“编辑”、“运营”),并为角色批量授予特定权限,再将角色分配给子管理员。
配置流程概览:
创建RAM用户:在阿里云访问控制(RAM)控制台创建一个用户身份。
添加子管理员:在网站后台添加子管理员,并关联已创建的RAM用户。
配置角色与权限:创建角色并定义权限集,然后将角色授予子管理员。
步骤一:创建RAM用户
如已有可用的RAM用户,可跳过本步骤。
使用阿里云账号(主账号)访问创建RAM用户。
在创建用户页面的用户账号信息区域,设置用户基本信息。
登录名称:可包含英文字母、数字、半角句号(.)、短划线(-)和下划线(_),最多64个字符。
显示名称:最多包含128个字符或汉字。
标签:单击
,然后输入标签键和标签值。为RAM用户绑定标签,便于后续基于标签的用户管理。
在访问方式区域,选择控制台访问,然后设置对应参数。
若该员工需要通过程序调用 API,可勾选使用永久AccessKey访问,更多说明请参见创建RAM用户。
设置密码:设置登录控制台的密码,您可以选择自动生成密码或者自定义密码。自定义登录密码时,密码必须满足密码复杂度规则。更多信息,请参见设置RAM用户密码策略。
需要重置密码:选择RAM用户在下次登录时是否需要重置密码。
MFA多因素认证:选择是否为当前RAM用户启用MFA。启用MFA后,还需要绑定MFA设备。更多信息,请参见为RAM用户绑定MFA设备。
单击确定,根据界面提示,完成安全验证。
步骤二:添加子管理员并关联RAM用户
创建好 RAM 用户后,返回网站管理后台,将其添加为子管理员。
在左侧导航栏中,选择,单击添加子管理员。
在弹出的对话框中,从列表中选择要关联的RAM用户,填写子管理员信息,然后单击确定,完成关联。
完成后,可以在员工管理列表中看到新添加的子管理员,可以随时单击编辑修改其信息。
步骤三:配置员工角色及权限
为子管理员分配权限,需要通过“角色”来完成。您可以先创建包含特定权限的角色,再将角色分配给子管理员。
在左侧导航栏中,选择,单击新增员工角色。
填写角色名称(例如“内容编辑”或“运营人员”),为该角色勾选所需的权限,然后单击确定。
在员工角色管理列表中找到需要授权的角色,单击
按钮。
在弹出的对话框中,勾选需要授予该角色的一个或多个员工,然后单击确定。
说明一个员工可以拥有多个角色,其最终权限是所有角色权限的并集。如果删除了某个角色,拥有该角色的子管理员将失去该角色对应的所有权限。
权限逻辑说明
一旦您开始为某个网站精细化配置权限(即关联了第一个子管理员),该网站的访问权限将完全转为“按角色授权”的白名单模式。请注意以下关键的权限判断逻辑,以避免配置错误:
当网站未关联任何子管理员时(默认状态):主账号及其创建的所有 RAM 用户,均可登录并访问主账号下的全部站点。
当网站关联了至少一个子管理员后:
对于已关联的 RAM 用户:其权限由所分配的员工角色决定。若该子管理员未被分配任何角色,则其登录后将无法对该网站进行任何操作。
对于其他未关联的 RAM 用户:他们将立即失去对该网站的访问权限。