策略,角色,与权限


策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。

  • EnOS 服务和工具:支持菜单级访问授权。

  • 资产及数据:支持授予组织内全部资产的数据访问权限。


IAM 中的权限策略分为两类:预定义策略自定义策略

预定义策略

预先为 EnOS 内某种典型用户角色或服务账号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务账号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。


目前 EnOS 提供以下预定义策略:

角色

权限

管理员 Administrator

拥有该 OU 所有资源的访问和管理权限。

应用注册管理员 Application Registration Administrator

应用注册页面和 API 的全部功能权限。

DPS 管理员 DPS Administrator

设备上线专家对 OU 内设备上云所有配置,包括设备组管理、注册组管理、设备分配以及重分配以及对应 API 的全部权限。

DPS 厂商用户 DPS Manufacturer

厂家对 OU 内设备出厂、接入能力验证配置,包括设备组管理,注册组管理和设备分配以及对应 API 的部分权限。

资产管理员 Asset Administrator

拥有该 OU 内所有设备资产数据的读写权限。

资产树管理员 Asset Tree Administrator

拥有该 OU 内所有资产树创建、删除、编辑、查看以及对资产树上资产节点管理的权限。

模型管理员 Model Administrator

拥有该 OU 内所有模型创建、删除、编辑、导入、导出、查看的权限。

设备管理员 Device Management Administrator

拥有该 OU 内所有设备创建、删除、编辑、查看的权限以及管理设备所必须的产品、固件、设备证书的所有权限。

模型只读 Model Read-Only

拥有该 OU 内所有模型导出、查看的权限。

设备只读 Device Management Read-Only

拥有该 OU 内所有设备查看的权限,及其产品、固件、设备证书的查看权限。

安全审计员 Security Auditor

拥有 OU 所有安全设置、审计日志的查看权限。

计量管理员 Metering Administrator

查看 OU 内所有资源的计量信息。

资源管理员 Resource Manager

拥有 OU 内计算资源和存储资源的分配和管理权限。

自定义策略

自定义策略是根据用户或服务账号对访问 EnOS 服务的需要自定义的权限策略。例如,当用户或服务账号只需要查询模型,则可为用户或服务账号赋予“模型管理服务”的“只读”权限。


目前 EnOS 支持对以下服务的自定义权限。

  • 资产

  • 资产树

  • 模型

  • 设备管理服务

  • 资源管理

  • 产品

  • 证书

  • 固件


更多信息,参见 服务权限