多用户访问控制
概述
针对企业不同职能角色使用百度大脑AI服务的要求,当前AI产品已接入百度智能云多用户访问控制(Identity and Access Management, IAM)服务。
多用户访问控制:适用于企业组织内的不同角色,可以对不同的工作人员赋予使用产品的不同权限,例如,只读,运维,管理,也可细化到资源级别,且子用户不需要对操作产生的费用单独支付。当您的企业存在多用户协同操作资源时,推荐您使用多用户访问控制。
场景说明:
某企业的A账户购买了多种资源。该企业拥有许多员工,包括开发人员、测试人员、运维人员等,由于每个员工的工作职责不同,所以需要的权限也不同,且员工不需要对操作产生的费用单独支付。
通过在多用户访问控制-子用户管理,您可以创建并管理账户下的子用户,为子用户配置AI控制台权限,子用户将具备如下权限:
- 子用户登录进入AI管理控制台,正常使用控制台全部功能。
- 子用户在AI管理控制台的消费将消耗主账户余额,所产生的订单与账单算至主账号名下。
在AI控制台子用户与主账号间可共享AI应用、配置与数据,具体表现如下:
- 主账号可对子用户创建的应用进行查看和管理。(2022年10月27日前创建的应用,需先在控制台应用列表中完成归属)
- 主账号创建的应用,可通过授权分配给子用户进行查看和管理。
- 子用户获取应用授权后,可查看和管理应用配置、应用监控、模型数据等内容。
- 注意:子用户之间应用不互通。
如需共享SDK/私有化部署包,建议您线下以安全的方式,将SDKLicense或部署包传递给子用户使用(例如:将SDKlicense信息复制到文档中,打包加密给子用户),对此给您带来的不便,敬请谅解。
子用户创建与管理
创建子用户
- 登录百度智能云管理控制台,选择“多用户访问控制”。
- 在“用户管理”的“子用户”页中点击“创建子用户”。
- 选择该子用户访问云账户资源的方式,使用AI控制台的子用户须选择控制台密码访问-绑定内网账号-百度账号,输入子用户的百度账号用户名称(非ID,通常为邮箱、手机号或用户名)完成创建。注册百度账号
注意:非百度账号的其他访问方式创建的子用户,无法正常使用百度AI控制台。
设置子用户密码
如果您创建的子用户已绑定百度账号,重新设置子用户密码,将会解绑原来绑定的百度账号,造成子用户无法正常使用AI服务,建议您谨慎操作。
如果您创建的子用户未绑定百度账号,您可通过点击“修改”为子用户绑定内网账号-百度账号,使得子用户可以正常使用AI服务。
- 在“用户管理”的“子用户”页中,点击设置密码的用户列的“修改”。
- 选择“绑定内网账号”,选择“百度账号”,子用户登录时,使用百度账号和该账号的密码进行登录。
管理子用户信息
- 在“用户管理”的“子用户”的用户列表中选择需要管理的子用户,点击用户名或者“管理”,进入子用户详情页。
- 修改子用户基本信息。
子用户授权
- 在“用户管理”的“子用户”的用户列表中选择需要管理的子用户,点击"添加权限“,或者进入子用户详情页,在”权限信息”栏中,选择"授权"。
- 可为子用户选择多个策略,勾选并点击确认后,即可为子用户开通权限。权限开通可能存在延迟,请耐心等待。
- 当前AI相关的系统策略权限有3种:
- AIFullControlPolicy系统策略:拥有所有AI产品的管理权限,AI产品包括:文字识别、人脸识别、语音技术、图像识别、图像搜索、图像效果增强、内容审核、人体分析、自然语言处理、智能对话UNIT、机器翻译、智能创作平台、EasyDL、AR。
- xxxFullControlPolicy系统策略:可为子用户分别赋予某一个AI产品的完全管理权限,即子用户可对获得授权的AI产品下,主账号创建的所有应用进行查看和管理。可单独赋完全管理权限的AI产品及对应的系统策略权限名称如下:
| AI产品名称 | 系统策略名称 |
|---|---|
| 文字识别 | OCRFullControlAccessPolicy |
| 人脸识别 | FACEFullControlAccessPolicy |
| 语音技术 | SPEECHFullControlAccessPolicy |
| 图像识别 | IMAGE_RECOGNITIONFullControlAccessPolicy |
| 图像搜索 | IMAGE_SEARCHFullControlAccessPolicy |
| 图像增强与特效 | IMAGE_ENHANCEMENTFullControlAccessPolicy |
| 内容审核 | ICRFullControlAccessPolicy |
| 人体分析 | HUMAN_BODYFullControlAccessPolicy |
| 自然语言处理 | NLPFullControlAccessPolicy |
| 智能对话UNIT | AI_UNIT_CLOUDFullControlAccessPolicy |
| 机器翻译 | MT_PUBLICFullControlAccessPolicy |
| 智能创作平台 | AI_WRITING_PUBLICFullControlAccessPolicy |
- xxxControlPolicy可为子用户分别赋予某个AI产品的管理权限,即子用户可对获得授权的AI控制台进行使用,但对主账号创建的应用不可见,如需对主账号创建的应用进行查看和管理,需通过自定义策略将应用授权给子用户。可单独赋权管理权限的AI产品及对应的系统策略权限名称如下:
| AI产品名称 | 系统策略名称 |
|---|---|
| 文字识别 | OCRControlAccessPolicy |
| 人脸识别 | FACEControlAccessPolicy |
| 语音技术 | SPEECHControlAccessPolicy |
| 图像识别 | IMAGE_RECOGNITIONControlAccessPolicy |
| 图像搜索 | IMAGE_SEARCHControlAccessPolicy |
| 图像增强与特效 | IMAGE_ENHANCEMENTControlAccessPolicy |
| 内容审核 | ICRControlAccessPolicy |
| 人体分析 | HUMAN_BODYControlAccessPolicy |
| 自然语言处理 | NLPControlAccessPolicy |
| 智能对话UNIT | AI_UNIT_CLOUDControlAccessPolicy |
| 机器翻译 | MT_PUBLICControlAccessPolicy |
| 智能创作平台 | AI_WRITING_PUBLICControlAccessPolicy |
- 如需将应用授权给子用户进行查看和管理,需先创建自定义策略(按策略生成器创建):
点击【添加权限】,选择您要授予的应用所属服务,并在区域中选择全局,随后请勾选该权限策略包含的应用。如需对权限进行时间限制,请点击下方按钮【添加条件】。
完成勾选并点击确认后即完成自定义策略的创建。随后您可通过将该策略授予子用户,使其获得该策略所包含应用的查看和管理权限。
注意:您无法将子用户创建的应用,通过授权进行分配。
子用户操作日志
操作日志:显示子用户最近一次的控制台访问记录。
删除子用户
在“用户管理”的“子用户”页中,选择对应的子用户,点击删除,即可删除该子用户。
注意:选择删除,子用户对应的权限、密码也会随之删除,将无法恢复,所以在未能明确不需要子用户时,建议使用子用户的禁用功能。
禁用子用户
在某些场景下,你需要临时禁用子用户对AI控制台的访问权限,此时你可以使用子用户禁用功能。在“用户管理”的“子用户”页签中,选择对应的子用户,点击禁用,即可禁止该子用户使用。后续你也可以重新激活该子用户,恢复其访问权限。
注意:选择禁用,该子用户将无权限进行任何操作。
子用户登录
子用户登录链接获取
主账号“用户管理”的"子用户"页面中,顶部提供子用户登录链接。可将链接提供给子用户,子用户点击该链接进入登录页面。
子用户使用百度账号登录
子用户登录,选择左下角"使用百度账号登录",切换进入百度账号登录页面。输入子用户绑定的百度账号与绑定的百度账号的密码。
选择所需的AI控制台进入
登录成功后进入百度AI开放平台控制台中心,选择所需的AI服务控制台进入使用。