为子管理员实施功能和数据权限隔离

对于拥有复杂组织架构和大量云电脑的客户而言,需要设立子管理员来协助主管理员完成管理工作,但根据权限最小化的信息安全最佳实践,不能简单地为每位子管理员赋予全部的功能和数据权限。本文介绍如何使用无影云电脑的权限管理模块来为子管理员实施功能和数据权限隔离。

需求场景

以阿里云主账号登录无影云电脑控制台时,该账号具备所有的权限,可以使用控制台上提供的所有管控功能,也可以操作所有的资源。对于组织结构庞大、部门多、员工数量多、云电脑数量多的客户而言,如果只有一名管理员来承担所有的管控工作,一方面可能会有工作量过大的问题,另一方面可能也会不符合企业内部的权限隔离要求。此时,就需要有一名或多名子管理员来分担,但这种场景会有以下需求:

  • 实施功能权限隔离:例如,子管理员A仅可创建和管理用户,但不可创建和管理云电脑;子管理员B仅可查看所有数据,不可执行其他操作。

  • 实施数据权限隔离:例如,子管理员C仅可查看和管理研发部门的云电脑,子管理员D仅可查看和管理设计部门的云电脑。

解决方案

无影云电脑提供的权限管理模块可以满足上述需求。

image

权限管理模块从以下维度解决问题:

  • 人员维度:支持创建子管理员,每个子管理员所具备的功能权限由其扮演的角色决定,数据权限由其管理的资源组决定。

  • 功能维度:支持使用默认角色和创建自定义角色。角色是功能权限描述的集合,具体规定了可以访问控制台的哪些功能模块,可以执行哪些操作,用于实现功能权限隔离。默认角色包括:

    • 超级管理员:具备操作所有功能和云资源的权限。仅超级管理员可创建和管理其他管理员。

    • 系统管理员:具备操作云资源、管理云资源授权、监控系统状态和执行运维任务的权限,不具备创建和管理用户的权限。

    • 安全审计管理员:仅具备查看数据的权限,无功能操作的权限。

    • 安全保密管理员:具备创建和管理用户、监控安全数据处理状态的权限,不具备云资源操作的权限。

  • 数据维度:支持创建资源组。资源组是云电脑资源的集合,用于实现权限隔离。

因此,我们可以借助权限管理模块轻松满足上述假设需求。

需求

解决方案

  • 子管理员A仅可创建和管理用户,但不可创建和管理云电脑;

  • 子管理员B仅可查看所有数据,不可执行其他操作。

  1. 创建自定义角色1,仅赋予用户与组织模块中的用户管理相关权限。

  2. 创建子管理员A,为其赋予自定义角色1;创建子管理员B,为其赋予默认角色安全审计管理员

  • 子管理员C仅可查看和管理研发部门的云电脑;

  • 子管理员D仅可查看和管理设计部门的云电脑。

  1. 创建资源组1,将研发部门的云电脑移入该资源组;创建资源组2,将设计部门的云电脑移入该资源组。

  2. 创建子管理员C,为其授权资源组1;创建子管理员D,为其授权资源组2。

创建角色

您可以使用默认角色,也可以根据需要创建自定义角色。此后,您可以为子管理员赋予角色,实现不同子管理员之间的功能权限隔离。

  1. 登录无影云电脑企业版控制台

  2. 在左侧导航栏,选择安全与审计 > 管理员权限,并在管理员权限页面上单击角色页签。

  3. 角色页面单击创建角色,然后输入以下配置信息,并单击确定

    • 名称:输入角色名称。

    • 父角色:从默认角色中为该角色选择一个父级角色。

      选择后,父角色的所有权限会在权限配置区域加载出来,您可以在此基础上完成具体配置。

    • (可选)描述:输入角色描述,便于区分各角色。

后续操作

创建好的角色会显示在角色页面上。

  • 如需修改自定义角色,可在目标角色的操作列单击编辑

  • 如需删除自定义角色,可在目标角色的操作列单击删除

创建资源组

您可以创建资源组,根据需要将云电脑移入不同的资源组。此后,您可以为资源组设置授权子管理员,实现不同子管理员之间的数据权限隔离。

  1. 在左侧导航栏,选择资源管理 > 资源组

  2. 资源组页面单击新建资源组,然后在对话框中输入资源组名称

    说明

    名称要求:不超过30个字符。必须以大小写字母或中文字符开头,不能以http://https://开头。可使用的字符包括中文、英文、数字、半角冒号(:)、下划线(_)、点号(.)和短划线(-)。

  3. 配置资源及授权对话框中单击立即前往

  4. 资源管理页签上单击转入资源,然后在转入资源面板上,选择要转入该资源组的所有云电脑,并单击确定

后续操作

创建好的资源组会显示在资源组页面上。

  • 如需为资源组添加或移除授权子管理员,可在目标资源组的操作列单击授权管理,并在新增授权管理员面板上按需操作。

    说明

    如需添加授权子管理员,但面板上暂无可选项,您可以单击列表底部的创建管理员

  • 如需添加或移除资源组内的资源,可在目标资源组的操作列单击资源管理

    说明

    资源管理页签的用户列单击图标,选择未分配资源用户并单击确定,即可快速筛选出所有闲置资源,方便进行后续管理。

    资源组_筛选闲置资源

  • 如需修改资源组名称,可在目标资源组的操作列单击编辑

  • 如需删除资源组,可在目标资源组的操作列单击删除

创建子管理员并设置授权范围

创建子管理员时,通过选择其扮演的角色来实现功能权限隔离,通过为其添加授权的资源类型和资源组来实现数据隔离。

  1. 在左侧导航栏,选择安全与审计 > 管理员权限

  2. 管理员权限页面单击创建管理员,然后输入以下配置信息,并单击创建

    • 关联RAM:子管理员需要使用RAM用户来登录控制台完成管理工作,因此需要关联一个RAM用户。您可以执行以下操作之一:

      • 选择一个当前阿里云主账号下已有的RAM账号:选择存量RAM账号,并从下拉列表中选择一个。

      • 新建一个RAM账号:选择新建RAM账号,并在弹出的访问控制快速授权页面上单击确认授权

        子管理员RAM用户登录凭证

        说明

        RAM用户的用户名和初始密码会通过您填写的邮箱或手机号发送给子管理员。

    • 管理员昵称:输入子管理员的显示名称。

    • 角色:从默认角色或者您创建的自定义角色中选择子管理员要扮演的角色。该角色决定子管理员具备哪些功能权限。

    • 邮箱:输入子管理员的邮箱,用于接收RAM用户登录凭证等相关通知。

    • (可选)电话:输入子管理员的手机号码,用于接收RAM用户登录凭证等相关通知。

  3. 管理员权限页面上找到上一步创建的子管理员,在其操作列单击授权管理

  4. 授权管理面板上,设置该子管理员的授权范围,并单击确定。您可以从资源类型和资源组维度添加授权,最终的授权范围为二者的并集。

    1. 资源类型:可选择云电脑用户

      重要

      选择任意一种资源类型,即表示该子管理员将具备所选资源类型的全部资源管理权限,包括后续新增的该类型的资源。例如,如果选择云电脑,则该子管理员将具备当前阿里云账号下所有云电脑以及将来新购的所有云电脑的管理权限。

    2. 资源组:在可授权资源组区域选择要为该子管理员添加授权的资源组,并单击图标,以将该资源组移动至已授权资源组区域。

后续操作

创建好的子管理员会显示在管理员权限页面上。

  • 如需修改子管理员的关联RAM用户,可在目标子管理员的操作列单击修改关联RAM

  • 如需修改子管理员的授权范围,可在目标子管理员的操作列单击授权管理

  • 如需修改子管理员的基本信息,包括昵称、角色、邮箱和手机号,可在目标子管理员的操作列单击编辑

  • 如需删除子管理员,可在目标子管理员的操作列单击删除

子管理员登录控制台

子管理员可使用在邮件或短信中收到的用户名和初始密码来登录控制台。

  1. 打开RAM用户登录页面

  2. 用户名文本框中输入收到的用户名,并单击下一步

    示例:AU-492b4a18-****-****-****-****@1161219343******.onaliyun.com

  3. 用户密码文本框中输入收到的初始密码,并单击登录

    示例:AP:269fa57f-34c6-4818-af98-bccb7fb6****

  4. (条件)首次登录时,在重置RAM用户密码页面输入新密码和确认新密码,并单击确认重置

    以后登录时需使用该自定义密码。

  5. 登录无影云电脑企业版控制台