策略,角色,与权限¶
策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。
EnOS 服务和工具:支持菜单级访问授权。
资产及数据:支持授予组织内全部资产的数据访问权限。
IAM 中的权限策略分为两类:预定义策略 和 自定义策略。
预定义策略¶
预先为 EnOS 内某种典型用户角色或服务账号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务账号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。
目前 EnOS 提供以下预定义策略:
角色 |
权限 |
|---|---|
管理员 Administrator |
拥有该 OU 所有资源的访问和管理权限。 |
应用注册管理员 Application Registration Administrator |
应用注册页面和 API 的全部功能权限。 |
DPS 管理员 DPS Administrator |
设备上线专家对 OU 内设备上云所有配置,包括设备组管理、注册组管理、设备分配以及重分配以及对应 API 的全部权限。 |
DPS 厂商用户 DPS Manufacturer |
厂家对 OU 内设备出厂、接入能力验证配置,包括设备组管理,注册组管理和设备分配以及对应 API 的部分权限。 |
资产管理员 Asset Administrator |
拥有该 OU 内所有设备资产数据的读写权限。 |
资产树管理员 Asset Tree Administrator |
拥有该 OU 内所有资产树创建、删除、编辑、查看以及对资产树上资产节点管理的权限。 |
模型管理员 Model Administrator |
拥有该 OU 内所有模型创建、删除、编辑、导入、导出、查看的权限。 |
设备管理员 Device Management Administrator |
拥有该 OU 内所有设备创建、删除、编辑、查看的权限以及管理设备所必须的产品、固件、设备证书的所有权限。 |
模型只读 Model Read-Only |
拥有该 OU 内所有模型导出、查看的权限。 |
设备只读 Device Management Read-Only |
拥有该 OU 内所有设备查看的权限,及其产品、固件、设备证书的查看权限。 |
安全审计员 Security Auditor |
拥有 OU 所有安全设置、审计日志的查看权限。 |
计量管理员 Metering Administrator |
查看 OU 内所有资源的计量信息。 |
资源管理员 Resource Manager |
拥有 OU 内计算资源和存储资源的分配和管理权限。 |
自定义策略¶
自定义策略是根据用户或服务账号对访问 EnOS 服务的需要自定义的权限策略。例如,当用户或服务账号只需要查询模型,则可为用户或服务账号赋予“模型管理服务”的“只读”权限。
目前 EnOS 支持对以下服务的自定义权限。
资产
资产树
模型
设备管理服务
资源管理
产品
证书
固件
更多信息,参见 服务权限。