多用户访问控制
更新时间:2023-12-18
概述
针对企业不同职能角色需协同使用百度大脑AI服务的要求,当前AI产品已接入百度智能云多用户访问控制(Identity and Access Management, IAM)服务。
场景说明:
某企业的A账户购买了多种资源。该企业拥有许多员工,包括开发人员、测试人员、运维人员等,由于每个员工的工作职责不同,所以需要的权限也不同,且员工不需要对操作产生的费用单独支付。
功能介绍
通过使用多用户访问控制功能,可以对企业内不同的工作人员授予AI产品的不同权限,例如,只读,运维,管理,也可细化到资源级别;功能具体表现如下:
- 主账号和子用户共享AI应用、配置、资源、数据、账户余额,且子用户不需要对操作产生的费用单独支付
- 子用户创建的鉴权应用:主账号可管理所有子用户创建的鉴权应用,但无法对子用户创建的应用做二次分配,且子用户A无法于应用列表查看子用户B创建的应用。
- 主账号创建的鉴权应用:可通过授权分配给不同的子用户进行查看和管理,并监控其用量,。
使用流程
请您先登录AI控制台,在右上角头像找到“多用户访问控制-子用户管理”,创建并管理账户下的全部子用户,为其配置AI控制台权限,并获取子用户登录链接。
创建子用户
- 登录百度智能云管理控制台,选择“多用户访问控制”。
-
“用户管理-子用户”中点击“创建子用户”,填写子用户登录所使用的账号密码即可。
- 填写子用户名(账号)
- 如通过控制台页面访问,请选择控制台密码访问-手动输入
- 输入子用户登录密码
子用户权限管理
完成子用户创建后,需对该子用户进行授权,请分别授予控制台管理权限和财务相关权限
- 选择子用户,点击"编辑权限“。
- 可按需为子用户配置多个策略,勾选并点击确认后,即为子用户开通权限。权限开通可能存在延迟,请耐心等待
- 当前AI控制台相关的系统策略有3种:
| 策略名称 | 策略描述 |
|---|---|
| AIFullControlPolicy | 拥有所有AI产品的管理权限,AI产品包括:文字识别、人脸识别、语音技术、图像识别、图像搜索、图像效果增强、内容审核、人体分析、自然语言处理、智能对话UNIT、机器翻译、智能创作平台。 |
| xxxFullControlPolicy | 可为子用户赋予某一个AI产品的完全管理权限,即子用户可对获得授权的AI产品下,主账号创建的所有应用进行查看和管理。可配置权限列表见附录 |
| xxxControlPolicy | 可为子用户赋予某个AI产品的部分管理权限,即子用户可使用已获取授权的AI控制台,但对主账号创建的应用不可见,如需对主账号创建的应用进行查看和管理,需通过自定义策略将应用授权给子用户。可配置权限列表见附录 |
- 财务相关系统策略有3个:
| 策略名称 | 策略描述 |
|---|---|
| FCFullControlPolicy | 管理财务中心的权限 |
| FCReadAccessPolicy | 只读财务中心的权限 |
| FC_RenewOrderAccessPolicy | 财务中心续费管理权限 |
- 自定义策略:如需按应用粒度授权给子用户管理,需在策略管理创建策略(按策略生成器创建):
a. 点击【添加权限】,选择您要授予的应用所属服务,并在区域中选择全局,随后请勾选该权限策略包含的应用。如需对权限进行时间限制,请点击下方按钮【添加条件】。
b. 完成勾选并点击确认后即完成自定义策略的创建。随后您可通过将该策略授予子用户,使其获得该策略所包含应用的管理权限。 c. 注意:您无法将子用户创建的应用,通过授权进行分配。
子用户登录
- 获取子用户登录链接,主账号可从子用户管理,顶部获取子用户的登录链接。子用户必须通过该链接才能进入到正确的登录页面。
- 子用户登录,输入子用户创建时填写的子用户名、密码。
- 登录成功后,请选择有访问权限的AI服务控制台进入使用。
子用户信息管理
修改子用户基本信息
选择需要管理的子用户,点击用户名或者“管理”,进入子用户详情页。
子用户操作日志
操作日志:显示子用户最近一次的控制台访问记录。
删除子用户
在“用户管理”的“子用户”页中,选择对应的子用户,点击删除,即可删除该子用户。
注意:选择删除,子用户对应的权限、密码也会随之删除,将无法恢复,所以在未能明确不需要子用户时,建议使用子用户的禁用功能。
禁用子用户
在某些场景下,你需要临时禁用子用户对AI控制台的访问权限,此时你可以使用子用户禁用功能。在“用户管理”的“子用户”页签中,选择对应的子用户,点击禁用,即可禁止该子用户使用。后续你也可以重新激活该子用户,恢复其访问权限。
注意:选择禁用,该子用户将无权限进行任何操作。
附录
- 可单独赋完全管理权限的AI产品及对应的系统策略权限名称如下:
| AI产品名称 | 系统策略名称 |
|---|---|
| 文字识别 | OCRFullControlAccessPolicy |
| 人脸识别 | FACEFullControlAccessPolicy |
| 语音技术 | SPEECHFullControlAccessPolicy |
| 图像识别 | IMAGE_RECOGNITIONFullControlAccessPolicy |
| 图像搜索 | IMAGE_SEARCHFullControlAccessPolicy |
| 图像增强与特效 | IMAGE_ENHANCEMENTFullControlAccessPolicy |
| 内容审核 | ICRFullControlAccessPolicy |
| 人体分析 | HUMAN_BODYFullControlAccessPolicy |
| 自然语言处理 | NLPFullControlAccessPolicy |
| 智能对话UNIT | AI_UNIT_CLOUDFullControlAccessPolicy |
| 机器翻译 | MT_PUBLICFullControlAccessPolicy |
| 智能创作平台 | AI_WRITING_PUBLICFullControlAccessPolicy |
- 可单独赋权管理权限的AI产品及对应的系统策略权限名称如下:
| AI产品名称 | 系统策略名称 |
|---|---|
| 文字识别 | OCRControlAccessPolicy |
| 人脸识别 | FACEControlAccessPolicy |
| 语音技术 | SPEECHControlAccessPolicy |
| 图像识别 | IMAGE_RECOGNITIONControlAccessPolicy |
| 图像搜索 | IMAGE_SEARCHControlAccessPolicy |
| 图像增强与特效 | IMAGE_ENHANCEMENTControlAccessPolicy |
| 内容审核 | ICRControlAccessPolicy |
| 人体分析 | HUMAN_BODYControlAccessPolicy |
| 自然语言处理 | NLPControlAccessPolicy |
| 智能对话UNIT | AI_UNIT_CLOUDControlAccessPolicy |
| 机器翻译 | MT_PUBLICControlAccessPolicy |
| 智能创作平台 | AI_WRITING_PUBLICControlAccessPolicy |