策略,角色,与权限¶
策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。
- EnOS 服务和工具:支持菜单级访问授权。
- 资产及数据:支持授予组织内全部资产的数据访问权限。
IAM 中的权限策略分为两类:预定义策略 和 自定义策略。
预定义策略¶
预先为 EnOS 内某种典型用户角色或服务账号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务账号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。
目前 EnOS 提供以下预定义策略:
| 角色 | 权限 |
|---|---|
| 管理员 Administrator | 拥有该 OU 所有资源的访问和管理权限。 |
| 应用注册管理员 Application Registration Administrator | 应用注册页面和 API 的全部功能权限。 |
| DPS 管理员 DPS Administrator | 设备上线专家对 OU 内设备上云所有配置,包括设备组管理、注册组管理、设备分配以及重分配以及对应 API 的全部权限。 |
| DPS 厂商用户 DPS Manufacturer | 厂家对 OU 内设备出厂、接入能力验证配置,包括设备组管理,注册组管理和设备分配以及对应 API 的部分权限。 |
| 资产管理员 Asset Administrator | 拥有该 OU 内所有设备资产数据的读写权限。 |
| 资产树管理员 Asset Tree Administrator | 拥有该 OU 内所有资产树创建、删除、编辑、查看以及对资产树上资产节点管理的权限。 |
| 模型管理员 Model Administrator | 拥有该 OU 内所有模型创建、删除、编辑、导入、导出、查看的权限。 |
| 设备管理员 Device Management Administrator | 拥有该 OU 内所有设备创建、删除、编辑、查看的权限以及管理设备所必须的产品、固件、设备证书的所有权限。 |
| 模型只读 Model Read-Only | 拥有该 OU 内所有模型导出、查看的权限。 |
| 设备只读 Device Management Read-Only | 拥有该 OU 内所有设备查看的权限,及其产品、固件、设备证书的查看权限。 |
| 安全审计员 Security Auditor | 拥有 OU 所有安全设置、审计日志的查看权限。 |
| 计量管理员 Metering Administrator | 查看 OU 内所有资源的计量信息。 |
| 资源管理员 Resource Manager | 拥有 OU 内计算资源和存储资源的分配和管理权限。 |