用户管理
用户管理主要提供了用户对系统资源的访问控制,可实现以细粒度对资源归属及权限控制的划分。
- 用户管理提供账户、用户组、用户的管理,同时涉及策略、配额等概念。
- 用户管理系统的整体结构如Figure 1所示:
Figure 1. 用户管理系统 
相关定义
- 账户:
作为资源拥有的基本单位,对作用域的资源可以进行创建、删除、分享、召回等操作。账户分为admin管理员账户和普通账户。
- 用户:
用户账户创建,用于实现更细粒度的权限控制。admin创建的用户,也称之为admin用户,拥有和admin账户相同的全部权限。
- 用户组:
普通账户可以通过创建用户组对一组用户进行批量的权限控制。
- 资源配额:简称配额,是admin账户对普通账户的资源总量进行控制的衡量标准。
- 主要包括云主机数量、CPU数量、内存容量、最大数据云盘数目和所有云盘最大容量等。
- admin账户可修改以上各参数对各个普通账户进行资源总额的控制。当资源删除后,但还未彻底删除时,会占用主存储资源和云盘数量。
相关约束
- admin管理员账户:也称之为admin账户,不受权限控制,拥有超级权限,通常由IT系统管理员拥有。
- admin账户可以共享计算规格、云盘规格、网络、镜像等其他资源给普通账户,而普通账户只能操作属于自己的资源。admin账户同时也可以对相关资源进行召回,不再共享。
- admin账户可以通过修改配额对普通账户进行资源总量控制。
- admin账户创建的admin用户,和admin账户一样,拥有全局的控制权限。
- admin账户不能够修改别的账户的普通用户的权限。普通用户的权限应该由该用户所属的账户管理。
- admin账户不支持创建用户组,也不支持对其他账户的用户和用户组进行跨越管理。但可以修改普通账户、普通用户的用户名、密码和简介。
- admin账户创建VxlanNetworkPool后,普通账户可以基于VxlanNetworkPool创建VxlanNetwork。
- 只支持删除admin用户,不支持删除admin账户。
- 更改云主机所有者会更改云主机的EIP所有者属性。
- 普通账户:由admin管理员账户创建。
- 普通账户拥有对自己创建的云主机、镜像、云盘、安全组、用户组和用户的管理权限。普通账户可以对admin账户共享的资源进行读操作,但不可以进行删除操作。
- 普通账户可以通过权限控制来操控属于自己的用户或用户组。
- 普通账户可以使用用户组对批量用户进行权限控制。
- 删除普通账户会导致此账户下的所有资源被删除,例如,云主机、云盘、镜像、名下用户和用户组等信息。
- 普通用户默认只拥有对普通账户资源的只读权限。
- 普通用户不占有资源,经授权后,可共享并使用自己所属账户下的资源。
- 删除普通用户只会删除普通用户的自身信息,其所创建的云主机、镜像、云盘均会保留在自己所属的账户名下。
- 普通账户名称不可重复。同一账户下的用户和用户组名称不可重复。
- 普通用户的名字、简介和密码可以通过admin账户修改,也可通过所属账户进行修改。
- 同一用户可加入多个不同用户组。
- 账户登录只需输入账户名和密码,用户登录需要输入账户名、用户名和密码。
- 普通账户首页看到的资源是admin账户分配的资源配额的上限。
- 普通账户创建云主机前,需要admin账户提前共享计算规格、网络和云盘规格等资源,否则不可创建云主机。
- 普通账户可以添加自有的镜像文件,也可由admin账户提前共享。
- 用户权限受到用户权限设置页以及该用户所属用户组权限设置页共同控制。只要用户权限设置页,或者该用户所属任意用户组权限设置页授予了某资源的权限,即代表该用户拥有该权限对应的操作。如果需要禁止该用户对某资源的操作权限,需要禁止该用户权限页,以及该用户所属所有用户组权限页相关资源的操作权限。