20 用户管理
用户管理主要提供了用户对系统资源的访问控制,可实现以细粒度对资源归属及权限控制的划分。用户管理UI提供了账户、用户、用户组、资源配额的管理。
用户管理也涉及了相关资源的所有者更改。具体参考20.4更改所有者。
用户管理还提供对CPU、内存、云盘等基本资源使用的情况的计费,按照使用时间和资源规格对不同账户进行计费统计。具体参考20.5计费设置和20.6账户计费。
相关定义如下:
账户:作为资源拥有的基本单位,对作用域的资源可以进行创建、删除、分享、召回等操作。账户分为admin管理员账户和普通账户。
用户:用户由账户创建,用于实现更细粒度的权限控制。admin创建的用户,也称之为admin用户,拥有和admin账户相同的全部权限。
用户组:账户可以通过创建用户组对一组用户进行批量的权限控制。
资源配额:简称配额,是admin账户对普通账户的资源总量进行控制的衡量标准。主要包括云主机数量、CPU数量、内存容量、最大数据云盘数目和所有云盘最大容量等。可修改以上各参数对各个普通账户进行资源总额的控制。当资源删除后,但还未彻底删除时,会占用主存储资源和云盘数量。
相关的约束条款如下:
admin管理员账户,也称之为admin账户,不受权限控制,拥有超级权限,通常由IT系统管理员拥有。
admin账户可以共享计算规格、云盘规格、网络、镜像等其他资源给普通账户,除此外普通账户只能操作属于自己的资源。admin账户同时也可对相关资源进行召回,不再共享。
普通账户由admin管理员账户创建,拥有对自己创建的云主机、镜像、云盘、安全组、用户组和用户的管理权限。admin账户可以共享其他账户的镜像文件,普通账户可以对这些资源进行读操作,但不可进行删除操作。
普通账户可通过权限控制来操控属于自己的用户或用户组。
admin账户可以通过修改配额对普通账户进行资源总量控制。
admin账户创建的admin用户,和admin账户一样,拥有全局的控制权限。
普通用户,默认只拥有对普通账户资源的只读权限。
普通用户不占有资源,经授权后,可共享并使用自己所属账户下的资源。
admin账户不能够修改普通用户的权限。普通用户的权限应该由该用户所属的账户管理。
admin账户不支持创建用户组,也不支持对其他账户的用户和用户组进行跨越管理。但可以修改普通账户、普通用户的用户名、密码和简介。
普通账户可以使用用户组对批量用户进行权限控制。
删除普通账户会导致此账户下的所有资源被删除,例如,云主机、云盘、镜像、名下用户和用户组等信息。
删除用户只会删除用户自身信息,其所创建的云主机、镜像、云盘均会保留在自己所属的账户名下。
只支持删除admin用户,不支持删除admin账户。
账户登录只需输入账户名和密码,用户登录需要输入账户名、用户名和密码。
普通账户名称不可重复。同一账户下的用户和用户组名称不可重复。
同一用户可加入多个不同用户组。
普通账户的名字、简介和密码可以通过admin账户修改。普通用户的名字、简介和密码可以通过admin账户修改,也可通过所属账户进行修改。
用户权限受到用户权限设置页以及该用户所属用户组权限设置页共同控制。只要用户权限页,或者该用户所属任意用户组权限页授予了某资源的权限,即代表该用户拥有该权限对应的操作。如果需要禁止该用户对某资源的操作权限,需要禁止该用户权限页,以及该用户所属所有用户组权限页相关资源的操作权限。