策略,角色,与权限¶
策略是一组对EnOS中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在EnOS内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据EnOS支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。
EnOS服务和工具:支持菜单级访问授权。
资产及数据:支持授予组织内全部资产的数据访问权限。
IAM中的权限策略分为两类:预定义策略 和 自定义策略。
预定义策略¶
预先为EnOS内某种典型用户角色或服务帐号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务帐号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。
目前EnOS提供以下预定义策略:
角色 |
权限 |
|---|---|
组织管理员 Administrator |
拥有该OU所有资源的访问和管理权限 |
安全审计员 Security Auditor |
拥有OU所有安全设置、审计日志的查看权限 |
模型管理员 Model Administrator |
对OU的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限,包括系统管理员、管理模型的行业专家、负责模型部署的运维人员等 |
资产树管理员 Asset Tree Administrator |
对组织下的资产树有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等 |
设备管理员 Device Management Administrator |
对组织下的设备接入配置有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等 |
资源管理员 Resource Manager |
拥有OU内计算资源和存储资源的分配和管理权限 |
自定义策略¶
自定义策略是根据用户或服务帐号对访问EnOS服务的需要自定义的权限策略。例如,当用户或服务帐号只需要查询模型,则可为用户或服务帐号赋予“模型管理服务”的“只读”权限。
目前EnOS支持对以下服务的自定义权限:
服务名称 |
资源 |
权限选项 |
|---|---|---|
资产 |
接入配置 |
|
资产树管理 |
EnOS管理门户中的资产树 |
|
模型管理 |
模型 |
|
设备管理 |
接入配置 |
|
资源管理 |
EnOS管理门户中的资源管理 |
Full Access:分配和管理OU内计算资源和存储资源的所有权限 |