全部產品
Search
文件中心

Elastic Desktop Service:為子管理員實施功能和資料許可權隔離

更新時間:Oct 24, 2024

對於擁有複雜組織架構和大量雲電腦的客戶而言,需要設立子管理員來協助主管理員完成管理工作,但根據許可權最小化的資訊安全最佳實務,不能簡單地為每位子管理員賦予全部的功能和資料許可權。本文介紹如何使用無影雲電腦的許可權管理模組來為子管理員實施功能和資料許可權隔離。

需求情境

以阿里雲主帳號登入無影雲電腦控制台時,該帳號具備所有的許可權,可以使用控制台上提供的所有管控功能,也可以操作所有的資源。對於組織圖龐大、部門多、員工數量多、雲電腦數量多的客戶而言,如果只有一名管理員來承擔所有的管控工作,一方面可能會有工作量過大的問題,另一方面可能也會不符合企業內部的許可權隔離要求。此時,就需要有一名或多名子管理員來分擔,但這種情境會有以下需求:

  • 實施功能許可權隔離:例如,子管理員A僅可建立和系統管理使用者,但不可建立和管理雲電腦;子管理員B僅可查看所有資料,不可執行其他動作。

  • 實施資料許可權隔離:例如,子管理員C僅可查看和管理研發部門的雲電腦,子管理員D僅可查看和管理設計部門的雲電腦。

解決方案

無影雲電腦提供的許可權管理模組可以滿足上述需求。

許可權管理模組從以下維度解決問題:

  • 人員維度:支援建立子管理員,每個子管理員所具備的功能許可權由其扮演的角色決定,資料許可權由其管理的資源群組決定。

  • 功能維度:支援使用預設角色和建立自訂角色。角色是功能許可權描述的集合,具體規定了可以存取控制台的哪些功能模組,可以執行哪些操作,用於實現功能許可權隔離。預設角色包括:

    • 超級管理員:具備操作所有功能和雲資源的許可權。僅超級管理員可建立和管理其他管理員。

    • 系統管理員:具備操作雲資源、管理雲資源授權、監控系統狀態和執行營運任務的許可權,不具備建立和系統管理使用者的許可權。

    • 安全審計管理員:僅具備查看資料的許可權,無功能操作的許可權。

    • 安全保密管理員:具備建立和系統管理使用者、監控安全資料處理狀態的許可權,不具備雲資源操作的許可權。

  • 資料維度:支援建立資源群組。資源群組是雲電腦資源的集合,用於實現許可權隔離。

因此,我們可以藉助許可權管理模組輕鬆滿足上述假設需求。

需求

解決方案

  • 子管理員A僅可建立和系統管理使用者,但不可建立和管理雲電腦;

  • 子管理員B僅可查看所有資料,不可執行其他動作。

  1. 建立自訂角色1,僅賦予使用者與組織模組中的使用者管理相關許可權。

  2. 建立子管理員A,為其賦予自訂角色1;建立子管理員B,為其賦予預設角色安全審計管理員

  • 子管理員C僅可查看和管理研發部門的雲電腦;

  • 子管理員D僅可查看和管理設計部門的雲電腦。

  1. 建立資源群組1,將研發部門的雲電腦移入該資源群組;建立資源群組2,將設計部門的雲電腦移入該資源群組。

  2. 建立子管理員C,為其授權資源群組1;建立子管理員D,為其授權資源群組2。

建立角色

您可以使用預設角色,也可以根據需要建立自訂角色。此後,您可以為子管理員賦予角色,實現不同子管理員之間的功能許可權隔離。

  1. 登入無影雲電腦企業版控制台

  2. 在左側導覽列,選擇安全與審計 > 管理員權限,並在管理員權限頁面上單擊角色頁簽。

  3. 角色頁面單擊建立角色,然後輸入以下配置資訊,並單擊確定

    • 名稱:輸入角色名稱。

    • 父角色:從預設角色中為該角色選擇一個父級角色。

      選擇後,父角色的所有許可權會在許可權配置地區載入出來,您可以在此基礎上完成具體配置。

    • (可選)描述:輸入角色描述,便於區分各角色。

後續操作

建立好的角色會顯示在角色頁面上。

  • 如需修改自訂角色,可在目標角色的操作列單擊編輯

  • 如需刪除自訂角色,可在目標角色的操作列單擊刪除

建立資源群組

您可以建立資源群組,根據需要將雲電腦移入不同的資源群組。此後,您可以為資源群組設定授權子管理員,實現不同子管理員之間的資料許可權隔離。

  1. 在左側導覽列,選擇資源管理 > 資源群組

  2. 資源群組頁面單擊建立資源群組,然後在對話方塊中輸入資源群組名稱

    說明

    名稱要求:不超過30個字元。必須以大小寫字母或中文字元開頭,不能以http://https://開頭。可使用的字元包括中文、英文、數字、半形冒號(:)、底線(_)、點號(.)和短劃線(-)。

  3. 配置資源及授權對話方塊中單擊立即前往

  4. 資源管理頁簽上單擊轉入資源,然後在轉入資源面板上,選擇要轉入該資源群組的所有雲電腦,並單擊確定

後續操作

建立好的資源群組會顯示在資源群組頁面上。

  • 如需為資源群組添加或移除授權子管理員,可在目標資源群組的操作列單擊授權管理,並在新增授權管理員面板上按需操作。

    說明

    如需添加授權子管理員,但面板上暫無可選項,您可以單擊列表底部的建立管理員

  • 如需添加或移除資源群組內的資源,可在目標資源群組的操作列單擊資源管理

    說明

    資源管理頁簽的使用者列單擊表徵圖,選擇未分配資源使用者並單擊確定,即可快速篩選出所有閑置資源,方便進行後續管理。

  • 如需修改資源群組名稱,可在目標資源群組的操作列單擊編輯

  • 如需刪除資源群組,可在目標資源群組的操作列單擊刪除

建立子管理員並設定授權範圍

建立子管理員時,通過選擇其扮演的角色來實現功能許可權隔離,通過為其添加授權的資源類型和資源群組來實現資料隔離。

  1. 在左側導覽列,選擇安全與審計 > 管理員權限

  2. 管理員權限頁面單擊建立管理員,然後輸入以下配置資訊,並單擊建立

    • 關聯RAM:子管理員需要使用RAM使用者來登入控制台完成管理工作,因此需要關聯一個RAM使用者。您可以執行以下操作之一:

      • 選擇一個當前阿里雲主帳號下已有的RAM帳號:選擇存量RAM帳號,並從下拉式清單中選擇一個。

      • 建立一個RAM帳號:選擇建立RAM帳號,並在彈出的存取控制快速授權頁面上單擊確認授權

        說明

        RAM使用者的使用者名稱和初始密碼會通過您填寫的郵箱或手機號發送給子管理員。

    • 管理員暱稱:輸入子管理員的顯示名稱。

    • 角色:從預設角色或者您建立的自訂角色中選擇子管理員要扮演的角色。該角色決定子管理員具備哪些功能許可權。

    • 郵箱:輸入子管理員的郵箱,用於接收RAM使用者登入憑證等相關通知。

    • (可選)電話:輸入子管理員的手機號碼,用於接收RAM使用者登入憑證等相關通知。

  3. 管理員權限頁面上找到上一步建立的子管理員,在其操作列單擊授權管理

  4. 授權管理面板上,設定該子管理員的授權範圍,並單擊確定。您可以從資源類型和資源群組維度添加授權,最終的授權範圍為二者的並集。

    1. 資源類型:可選擇雲電腦使用者

      重要

      選擇任意一種資源類型,即表示該子管理員將具備所選資源類型的全部資源系統管理權限,包括後續新增的該類型的資源。例如,如果選擇雲電腦,則該子管理員將具備當前阿里雲帳號下所有雲電腦以及將來新購的所有雲電腦的系統管理權限。

    2. 資源群組:在可授權資源群組地區選取項目要為該子管理員添加授權的資源群組,並單擊表徵圖,以將該資源群組移動至已授權資源群組地區。

後續操作

建立好的子管理員會顯示在管理員權限頁面上。

  • 如需修改子管理員的關聯RAM使用者,可在目標子管理員的操作列單擊修改關聯RAM

  • 如需修改子管理員的授權範圍,可在目標子管理員的操作列單擊授權管理

  • 如需修改子管理員的基本資料,包括暱稱、角色、郵箱和手機號,可在目標子管理員的操作列單擊編輯

  • 如需刪除子管理員,可在目標子管理員的操作列單擊刪除

子管理員登入控制台

子管理員可使用在郵件或簡訊中收到的使用者名稱和初始密碼來登入控制台。

  1. 開啟RAM使用者登入頁面

  2. 使用者名稱文字框中輸入收到的使用者名稱,並單擊下一步

    樣本:AU-492b4a18-****-****-****-****@1161219343******.onaliyun.com

  3. 使用者密碼文字框中輸入收到的初始密碼,並單擊登入

    樣本:AP:269fa57f-34c6-4818-af98-bccb7fb6****

  4. (條件)首次登入時,在重設RAM使用者密碼頁面輸入新密碼和確認新密碼,並單擊確認重設

    以後登入時需使用該自訂密碼。

  5. 登入無影雲電腦企業版控制台