权限管理概述

使用无影云电脑时,您可以借助阿里云服务访问控制 RAM(Resource Access Management)实现权限管理,也可以采用无影云电脑内置的权限管理功能,通过创建管理员身份并授权相应的角色,就可以实现不同管理员身份对无影云电脑的不同操作项进行管控。本文介绍无影云电脑权限管理方案。

背景信息

访问控制 RAM(Resource Access Management)是阿里云提供的管理用户身份与资源访问权限的服务,无影云电脑已经接入该阿里云服务,您可以创建RAM用户并为其授予云电脑资源相关的权限策略,达到不同RAM用户具有不同云电脑资源访问权限的目的。详细信息,请参见什么是访问控制RAM用户概览

无影云电脑权限管理概述

无影云电脑内置的权限管理功能从无影云电脑控制台操作出发,借助管理员和角色的概念提供了一套展示直观、权限设置便捷的权限管理方案。

相关概念

为了帮助您更好地理解无影云电脑权限管理功能,下文列举了相关概念。

概念

说明

阿里云账号(Alibaba Cloud account)

开始使用阿里云服务前,首先需要注册一个阿里云账号。阿里云账号是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。

默认情况下,资源只能被阿里云账号所访问,任何其他用户访问都需要获得阿里云账号的显式授权。阿里云账号就是操作系统的root或Administrator,所以我们有时称它为根账号或主账号。

管理员

管理员是无影云电脑权限管理方案的一种实体身份类型,是资源的查看者或操作者,常常与某个确定的人对应。

管理员具备的特点

  • 管理员归属于阿里云主账号管理,一个阿里云主账号下可以创建多个管理员,对应企业内的员工。

  • 管理员不拥有资源,不能独立计量计费,由所属阿里云主账号统一控制和付费。

  • 一个管理员仅支持绑定一个RAM用户,管理员身份登录无影云电脑控制台时,该管理员所关联的RAM用户仅作为身份验证使用。

  • 管理员在无影云电脑控制台进行查看或操作时,只能查看或操作管理已授权角色携带的操作项。

  • 超级管理员具有对其名下所有资源拥有完全控制权限。例如:可以新建、修改和删除管理员。

阿里云主账号创建管理员以及管理员登录控制台查看或操作某个功能,请参见创建、修改或删除管理员

角色

角色是无影云电脑权限管理方案中权限的载体,定义了对某些资源和数据查看、编辑、修改或删除的权限,常常与一些操作项对应。

  • 角色分类

    按照角色来源划分,角色分为系统角色和自定义角色。

    • 系统角色:由无影云电脑管理,是无影云电脑自主提供的通过阿里云安全性测试的角色。系统角色又称为父角色。系统角色包含以下四类:

      • 超级管理员

        对其名下所有资源和数据拥有完全控制权限,仅绑定超级管理员角色的管理员可新建、修改和删除管理员。

      • 安全审计管理员

        仅拥有查看数据的权限,无执行操作的权限。

      • 安全保密管理员

        仅拥有创建、编辑和删除用户,查看监控数据状态等权限,不具备执行其他操作的权限。

      • 系统管理员

        仅拥有授权、监控和运维资源的权限,不具备创建、编辑和删除用户的权限。

    • 自定义角色:您创建的私有角色。

      说明
      • 阿里云主账号和超级管理员可以创建父角色为超级管理员的自定义角色。

      • 除了阿里云主账号和超级管理员以外的管理员身份,仅支持创建父角色为安全审计管理员、安全保密管理员和系统管理员的自定义角色。

  • 角色具备的特点

    • 角色本身不具备权限管控能力,只有角色与管理员身份绑定后才能在无影云电脑控制台管控角色所限定资源的查看、编辑、修改或删除权限。

    • 自定义角色对云电脑资源管控范围只能小于或等于系统角色(即父角色)。

功能介绍

无影云电脑立足业务操作本身,从自身管控平台出发为您提供功能操作维度的权限管控方案。通过定义管理员和角色,借助管理员和角色之间的关联关系,不同管理员登录控制台后仅支持查看或操作角色自身限定的功能入口。

image

优势

无影云电脑权限管理方案具有以下优势:

  • 功能操作维度的权限管控

    为不同管理员绑定不同的角色,管理员登录无影云电脑控制台后,仅能看到角色自身限定的操作功能入口,执行角色限定的操作。

  • 按需授权更简单

    对比RAM用户的权限管控方案,无影云电脑权限管理方案无需编写权限策略脚本,只需在控制台按需创建角色,勾选所需功能的操作项,然后关联管理员,便可实现权限管理。

RAM用户权限管理和无影云电脑权限管理方案的关联

下文列举了使用RAM用户完成权限管理和无影云电脑权限管理方案的关联。

项目

无影云电脑权限管理

RAM用户权限管理

授权方式

通过无影云电脑控制台创建管理员并关联角色,操作简单。

访问控制控制台上授权,如果系统策略无法满足业务需求,需要手动编写自定义权限策略脚本,相对复杂。

授权范围

对一个管理员身份绑定角色时,该角色的可授权范围是无影云电脑的资源操作项。

重要

无影云电脑权限管理方案只对无影云电脑服务生效,如果需要访问其他阿里云服务,需要为RAM用户单独授权相应服务的权限策略。

对一个RAM身份主体添加无影云电脑权限策略时,该策略的可授权范围仅仅是该资源组内的资源。

无影云电脑控制台页面显示差异

控制台页面仅展示已授权的功能模块和操作项按钮。

控制台展示所有资源,但是仅可针对已授权资源执行操作,操作未授权的资源时会提示无权限。

权限生效优先级

  • RAM访问控制对无影云电脑的权限策略配置为拒绝,无影云电脑权限管理方案不生效。

  • RAM访问控制对无影云电脑的权限策略配置为允许或者不做配置,无影云电脑权限管理方案生效,且以该权限为最高优先级生效。

相关信息

使用无影云电脑的过程中,如果需要访问其他阿里云服务,您可以参考下文列举的自定义权限策略脚本,创建自定义权限策略后并将其授权给RAM用户。具体操作,请参见创建自定义权限策略为RAM用户授权

  • CreateServiceLinkedRole权限

    访问跨云产品服务并需要创建相关资源时,需要给RAM用户授予CreateServiceLinkedRole权限,相应权限策略脚本如下。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": "ram:CreateServiceLinkedRole",
          "Resource": "*",
          "Effect": "Allow",
          "Condition": {
            "StringEquals": {
              "ram:ServiceName": "gws.aliyuncs.com"
            }
          }
        }
      ]
    }
  • 访问云监控(CloudMonitor)权限

    当需要使用监控相关功能时,需要给RAM用户授予云监控服务的权限,相应的权限策略脚本如下。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "cms:*"
          ],
          "Effect": "Allow",
          "Resource": "*"
        }
      ]
    }
  • 访问操作审计(ActionTrail)权限

    当需要使用审计相关功能时需要访问操作审计云服务,需要给RAM用户授予操作审计服务的权限,相应的权限策略脚本如下。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "actiontrail:Lookup*",
            "actiontrail:Describe*",
            "actiontrail:Get*",
            "actiontrail:Check*",
            "actiontrail:List*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
  • bss:PayOrder和bssapi:QueryAccountBalance权限

    当您需要在无影云电脑页面下单时,需要给RAM用户授予费用中心云服务的bss:PayOrder和bssapi:QueryAccountBalance权限,相应的权限策略脚本如下。具体操作,请参见为RAM用户授予在云电脑页面下单的权限