多用户访问控制

更新时间：2022-07-19

概述

针对企业不同职能角色使用百度大脑AI服务的要求，当前AI产品已接入百度智能云多用户访问控制(Identity and Access Management, IAM)服务。

多用户访问控制：适用于企业组织内的不同角色，可以对不同的工作人员赋予使用产品的不同权限，例如，只读，运维，管理，也可细化到资源级别，且子用户不需要对操作产生的费用单独支付。当您的企业存在多用户协同操作资源时，推荐您使用多用户访问控制。

场景说明：
某企业的A账户购买了多种资源。该企业拥有许多员工，包括开发人员、测试人员、运维人员等，由于每个员工的工作职责不同，所以需要的权限也不同，且员工不需要对操作产生的费用单独支付。

通过在多用户访问控制－子用户管理，您可以创建并管理账户下的子用户，为子用户配置AI权限，子用户将具备如下权限：

但是请注意，在AI控制台子用户与主账号间均无法共享AI资源、配置与数据，具体表现如下：

主账号创建的AI应用以及申请的SDK资源等内容，子用户不可见不可用；反之亦然。
主账号购买的调用量次数包、QPS资源以及后付费等资源，子用户不可见不可用；反之亦然。
主账号下的应用配置、应用监控、模型数据等内容，子用户不可见不可用；反之亦然。
如需资源共享，建议您线下以安全的方式将应用密钥或SDKLicense传递给子用户使用(例如：将应用的API Key、SecretKey或SDKlicense信息复制到文档中，打包加密给子用户)，对此给您带来的不便，敬请谅解。

登录百度智能云管理控制台，选择“多用户访问控制”。
在“用户管理”的“子用户”页中点击“创建子用户”。
选择该子用户访问云账户资源的方式，使用AI控制台的子用户须选择控制台密码访问-绑定内网账号-百度账号，输入子用户的百度账号用户名称(非ID，通常为邮箱、手机号或用户名)完成创建。

注意：非百度账号的其他访问方式创建的子用户，无法正常使用百度AI控制台。

如果您创建的子用户已绑定百度账号，重新设置子用户密码，将会解绑原来绑定的百度账号，造成子用户无法正常使用AI服务，建议您谨慎操作。

如果您创建的子用户未绑定百度账号，您可通过重新设置子用户密码，为子用户绑定内网账号-百度账号，使得子用户可以正常使用AI服务。

AIFullControlPolicy系统策略：拥有所有AI产品的管理权限，AI产品包括：文字识别、人脸识别、语音技术、图像识别、图像搜索、图像效果增强、内容审核、人体分析、自然语言处理、智能对话UNIT、机器翻译、智能创作平台、EasyDL、AR。
可以为子用户分别赋予某个AI产品的管理权限，可单独赋权的AI产品及对应的系统策略权限名称如下：

AI产品名称	系统策略名称
文字识别	OCRFullControlAccessPolicy
人脸识别	FACEFullControlAccessPolicy
语音技术	SPEECHFullControlAccessPolicy
图像识别	IMAGE_RECOGNITIONFullControlAccessPolicy
图像搜索	IMAGE_SEARCHFullControlAccessPolicy
图像增强与特效	IMAGE_ENHANCEMENTFullControlAccessPolicy
内容审核	ICRFullControlAccessPolicy
人体分析	HUMAN_BODYFullControlAccessPolicy
自然语言处理	NLPFullControlAccessPolicy
智能对话UNIT	AI_UNIT_CLOUDFullControlAccessPolicy
机器翻译	MT_PUBLICFullControlAccessPolicy
智能创作平台	AI_WRITING_PUBLICFullControlAccessPolicy