用户管理

用户管理主要提供了用户对系统资源的访问控制,可实现以细粒度对资源归属及权限控制的划分。

  • 用户管理提供账户、用户组、用户的管理,同时涉及策略、配额等概念。
  • 用户管理系统的整体结构如图 1所示:
    图 1. 用户管理系统


相关定义

  • 账户

    作为资源拥有的基本单位,对作用域的资源可以进行创建、删除、分享、召回等操作。账户分为admin管理员账户和普通账户。

  • 用户

    用户账户创建,用于实现更细粒度的权限控制。admin创建的用户,也称之为admin用户,拥有和admin账户相同的全部权限。

  • 用户组

    普通账户可以通过创建用户组对一组用户进行批量的权限控制。

  • 资源配额
    简称配额,是admin账户对普通账户的资源总量进行控制的衡量标准。
    • 主要包括云主机数量、CPU数量、内存容量、最大数据云盘数目和所有云盘最大容量等。
    • admin账户可修改以上各参数对各个普通账户进行资源总额的控制。当资源删除后,但还未彻底删除时,会占用主存储资源和云盘数量。

相关约束

  1. admin管理员账户:也称之为admin账户,不受权限控制,拥有超级权限,通常由IT系统管理员拥有。
    • admin账户可以共享计算规格、云盘规格、网络、镜像等其他资源给普通账户,而普通账户只能操作属于自己的资源。admin账户同时也可以对相关资源进行召回,不再共享。
    • admin账户可以通过修改配额对普通账户进行资源总量控制。
    • admin账户创建的admin用户,和admin账户一样,拥有全局的控制权限。
    • admin账户不能够修改别的账户的普通用户的权限。普通用户的权限应该由该用户所属的账户管理。
    • admin账户不支持创建用户组,也不支持对其他账户的用户和用户组进行跨越管理。但可以修改普通账户、普通用户的用户名、密码和简介。
    • admin账户创建VxlanNetworkPool后,普通账户可以基于VxlanNetworkPool创建VxlanNetwork。
    • 只支持删除admin用户,不支持删除admin账户。
    • 更改云主机所有者会更改云主机的EIP所有者属性。
  2. 普通账户:由admin管理员账户创建。
    • 普通账户拥有对自己创建的云主机、镜像、云盘、安全组、用户组和用户的管理权限。普通账户可以对admin账户共享的资源进行读操作,但不可以进行删除操作。
    • 普通账户可以通过权限控制来操控属于自己的用户或用户组。
    • 普通账户可以使用用户组对批量用户进行权限控制。
    • 删除普通账户会导致此账户下的所有资源被删除,例如,云主机、云盘、镜像、名下用户和用户组等信息。
    • 普通用户默认只拥有对普通账户资源的只读权限。
    • 普通用户不占有资源,经授权后,可共享并使用自己所属账户下的资源。
    • 删除普通用户只会删除普通用户的自身信息,其所创建的云主机、镜像、云盘均会保留在自己所属的账户名下。
    • 普通账户名称不可重复。同一账户下的用户和用户组名称不可重复。
    • 普通用户的名字、简介和密码可以通过admin账户修改,也可通过所属账户进行修改。
    • 同一用户可加入多个不同用户组。
    • 账户登录只需输入账户名和密码,用户登录需要输入账户名、用户名和密码。
    • 普通账户首页看到的资源是admin账户分配的资源配额的上限。
    • 普通账户创建云主机前,需要admin账户提前共享计算规格、网络和云盘规格等资源,否则不可创建云主机。
    • 普通账户可以添加自有的镜像文件,也可由admin账户提前共享。
    • 用户权限受到用户权限设置页以及该用户所属用户组权限设置页共同控制。只要用户权限设置页,或者该用户所属任意用户组权限设置页授予了某资源的权限,即代表该用户拥有该权限对应的操作。如果需要禁止该用户对某资源的操作权限,需要禁止该用户权限页,以及该用户所属所有用户组权限页相关资源的操作权限。

账户

ZStack私有云主菜单,点击平台管理 > 用户管理 > 账户,进入账户管理界面,如图 1所示。
图 1. 账户


ZStack对账户操作的定义如下:
  • 搜索:在账户管理界面上支持三种搜索方式:名称、UUID和高级搜索。
  • 创建账户:在当前区域中创建一个新的账户,点击创建账户按钮,会打开创建账户界面,输入新的账户的名称、简介(选填)、密码和计费价目(留空不填将使用默认计费价目),点击确定按钮创建,如图 2所示。
    图 2. 创建账户


  • 修改密码:admin账户和普通账户的密码都可以被修改。只支持单一操作。
    • 系统登录admin账户:可以修改admin账户和普通账户的密码。勾选要修改的账户,点击更多操作 > 修改密码按钮,在修改密码窗口中填写密码,然后确认。
    • admin账户也可以点击右上角的个人设置 > 修改密码来修改。
    说明: 修改admin账户的密码后需退出admin账户后重新登录才可生效。
  • 绑定AD/LDAP:将AD/LDAP与账户名绑定,输入AD/LDAP服务器中已有的AD/LDAP用户ID进行相关绑定,可实现AD/LDAP账户登录ZStack界面进行云平台管理。只支持单一操作。
  • 解绑AD/LDAP:对于一个已经绑定AD/LDAP的账户,取消该账户与AD/LDAP用户的绑定。此账户将不再支持AD/LDAP登录。只支持单一操作。
  • 更换计费价目:为账户更换计费价目,并使用更换后的价目进行计费。 支持批量操作。
  • 删除:删除账户会删除此账户下的所有资源,请谨慎操作。支持批量操作。
    说明: admin账户不可删除。
admin账户和普通账户的详情界面不相同,这里重点介绍一下普通账户的详情界面:
  • 普通账户的详情界面:
    在账户管理界面,点击普通账户名称可显示账户详情界面,包括:基本属性、云主机、路由器、云盘、AD/LDAP和审计,还有一个账户操作按钮可以对当前账户进行操作,它里面的操作菜单是账户管理界面上所有账户操作的合集。 如图 3所示。
    图 3. 普通账户详情


    • 基本属性栏显示当前账户的基本信息,包括名称、简介、概览和更多信息。在此栏上可以修改账户的名称、简介和配额。
      • 修改配额:支持对普通账户名下云主机数量、运行中的云主机数量、CPU容量、内存容量、数据云盘数量、可用存储容量、镜像数量、所有镜像容量、VXLAN网络数量、三层网络数量、安全组数量、弹性IP数量、虚拟IP数量、快照数量、定时任务数量等进行相应的资源配额设置。设置后,普通账户对相关资源的配置不能超过配额控制。
    • 云主机栏显示了当前普通账户下所有的云主机列表及其基本信息。在此栏上可以对这些云主机正常做操作,如图 4所示。
      图 4. 云主机


    • 路由器栏显示当前普通账户下所有的路由器列表及其基本信息。在此栏上可以对这些路由器正常做操作,如图 5所示:
      图 5. 路由器


    • 云盘栏显示当前普通账户下所有的云盘列表及其基本信息。在此栏上可以对这些云盘正常做操作,如图 6所示。
      图 6. 云盘


    • AD/LDAP栏显示当前普通账户下所有的AD/LDAP列表及其基本信息。在此栏上可以对这些AD/LDAP正常做操作,如图 7所示:
      图 7. AD/LDAP


    • 审计栏列出了当前集群的操作日志。如图 8所示:
      图 8. 审计


  • admin账户的用户组详情界面:包含:基本属性、云主机、路由器、云盘和AD/LDAP。和基本账户相似。
    说明: admin账户的基本属性栏上比普通账户少了配额

用户组

说明:
  • 用户组功能将在未来版本中停止维护,推荐使用全面升级的企业管理功能;
  • admin账户普通账户登录后的用户组管理界面是不同的。
ZStack私有云主菜单,点击平台管理 > 用户管理 > 用户组,进入用户组管理界面,如图 1图 2所示:
图 1. admin账户用户组


图 2. 普通账户用户组


  • admin账户不支持创建用户组,也不支持用户组的操作。所以页面上没有任何操作按钮。
  • 普通账户可以创建和操作用户组。ZStack对普通账户的用户组操作的定义如下:
    • 搜索:在用户组管理界面上支持三种搜索方式:名称、UUID和高级搜索。
    • 创建用户组:点击创建用户组按钮,在创建用户组界面,输入相应的用户组名称和简介,点击确定按钮即可创建用户组,如图 3所示。
      图 3. 创建用户组


    • 添加用户:添加用户到当前的用户组中。只支持单一操作。
    • 删除:删除的用户组。支持批量操作。
admin账户和普通账户的用户组详情界面不相同,这里重点介绍一下普通账户的用户组详情界面:
  • 普通账户的用户组详情界面:
    用普通账户登录ZStack后,在用户组管理界面,点击用户组的名字,可以展开用户组详情界面,它包含三栏:基本属性用户权限设置。还有一个用户组操作按钮可以对当前用户组进行操作,它里面的操作菜单是用户组管理界面上所有用户组操作的合集。点击左上角X按钮可以关闭用户组详情界面,如图 4所示。
    图 4. 普通账户用户组详情


    • 基本属性栏显示当前用户组的基本信息,包括名称、简介和更多信息,如图 4所示。在此栏上可以修改用户组的名称和简介。
    • 用户栏显示当前用户组下所有用户的列表及其基本信息,在此栏上可以对这些用户进行操作,如图 5所示。
      图 5. 用户


    • 权限设置栏显示当前用户组对其下的用户权限有相同的权限控制条目,总共有八类资源:云主机定时任务镜像云盘弹性IP安全组用户标签,如图 6所示。
      图 6. 权限设置


      • 总控开关:八类资源都可通过总控的打开和关闭按钮进行统一控制。点击相应的全部打开全部关闭按钮,可以对此八类资源进行批量控制。
      • 条目开关:此八类资源的权限还细分为更详细的权限控制条目。可以通过点击相应条目后面的on/off按钮进行开关的控制。
        说明: 因为相应的权限条目之间存在相关的逻辑关系。在打开某个条目,可能导致其他权限条目也会打开,来保证相关业务流程正常运行。

        例如,打开冷迁移云主机权限,会需要卸载云盘,迁移云盘,加载云盘。所以打开冷迁移云主机权限,这几个权限也会打开。

  • admin账户的用户组详情界面:包含两栏:基本属性栏和用户栏,和基本账户相似。
























学习路径

ZStack 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack 产品。

我知道了

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
登录观看培训视频
仅对注册用户开放,请 登录 或 填写资料 观看培训视频
填写资料

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

立即体验

联系我们

商务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

回到顶部

产品试用申请
请选择您要使用的产品
ZStack企业版
ZStack混合云版
ZStack信创云平台
ZStack Ceph企业版
ZStack Mini 边缘计算一体机
ZStack CMP 多云管理平台
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。