更新时间:2023-06-06
为保障VDC平台管理的安全与高效,VDC平台可依据管理层级与权限要求进行分权管理,同时支持各管理员管理不同区域业务,功能架构示意图如下图所示,管理权限涵盖对用户、角色、权限进行管辖范围及操作域的区分等,管理员间管理页面、权限相互隔离,互不干扰。同时,VDC平台可对管理员登录IP进行限制,通过访问限制进一步提升管理安全性。
7.2.1.1.管理员新建与访问限制
新建管理员分为三个主要步骤:
- 新建管理员角色/区域/新建管理员。
- 选择该管理员所属的管理员角色(拥有该管理员角色具备的管理权限)。
- 选择该管理员拥有的管理区域。
其中:
• 管理员角色:管理员角色是针对VDC控制台各模块访问权限的集合。平台各个功能模块划分为编辑、查看、不可见三种权限等级。其中管理员角色“超级管理员”仅admin账号可用;
• 管理区域:区域是管理员可管理的对象范围。对象包括用户组、用户、资源、虚拟机、角色、策略组、条件策略、临时策略、客户机组和客户机。对象具有区域属性,在新建或编辑各对象时,可以选择其所属区域。可简单理解为实现不同管理员管理不同的用户组、用户、资源、虚拟机等。例如公司财务部对应的VDI用户、虚拟机、策略等均由管理员A进行管理,且管理员A无权限查看、管理其他部门。此时可以新建一个区域为“财务部”。然后将财务部对应的用户组/用户、虚拟机资源等对象所属区域选择为财务部,此时便可实现管理员A仅能管理所属区域为财务部的用户组/用户、虚拟机资源、策略组等对象。
:
1. 新建管理员时,仅能新建角色权限和区域均在当前管理员范围内的新管理员;
2. 仅admin账号具有新建、删除、编辑管理员角色的权限,其他管理员能够查看管理员角色页面,且能使用小于自身权限访问的管理员角色;
3. 已分配给子区域的配额,无论子区域是否使用,当前区域均减少相应数量的配额。(例如A区域有100个配额,在A区域下再创建一个B区域,并分给B区域20个,无论B是否新建了虚拟机,A区域配额仅剩80)。
操作步骤
步骤1.新建管理员角色
- 登录VDC控制台,在[系统设置/管理员设置/管理员角色]页面中点击<新建>,新建管理员角色,也可以查看内置角色的权限,如内置角色能满足需求则无需新建管理员角色。
- 填写管理员角色的名称、描述,配置各模块的管理权限(编辑、查看、不可见三种权限等级)。
• 说明:
可以在“快速选择”中先选择已有的管理员角色,然后在已有管理员角色基础上进一步根据要求配置模块的管理权限。
- 保存后,可以看到刚创建的管理员角色,当然也可通过<编辑>查看或者修改管理员角色权限。
步骤2.新建区域
- 选择[区域],点击<新建>,选择“新建同级区域”或“新建子区域”。
- 填写区域名称、描述、限制管理的最大虚拟机数量。限制最大虚拟机数:该区域拥有虚拟机数量的上线。
• 说明:
有了区域后,在新建或编辑各对象时(对象包括用户组、用户、资源、虚拟机、角色、策略组、条件策略、临时策略、客户机组和客户机),可以选择其所属区域。
如将财务部用户组所属区域选择为财务部,编辑用户组进行选择即可,其他对象类似。
步骤3.新建管理员
- 在[管理员设置/管理员]中点击<新建>,新建管理员。
- 填写管理员名称、描述、密码,选择该管理员所属管理员角色和拥有的管理区域。
:
密码至少包含大写字母、小写字母、数字和特殊字符中的两项,密码长度至少8位,而且密码中不能包含管理员的用户名和空格。
步骤4.(可选)访问限制配置
可进行登录IP设置,即限制该管理员只能使用特定的电脑IP地址访问VDC控制台。
步骤5.(可选)管理员登录短信认证
若勾选短信认证,下次管理登录时,在输入正确的用户名密码后,会进入短信认证流程,输入对应的短信验证码,点击<确认>即可。
7.2.1.2.管理员信息更新与删除
在[系统设置/管理员设置/管理员]页面下,选择相应的管理员,点击<编辑>按钮,可对管理员进行编辑,如角色、管理区域等,配置完成后点击<保存>即可完成编辑。
同时,为保障管理员密码的安全性,在一定周期内需要强制修改密码,该功能适用于VDC/VMP5.5.5及以上版本,配置路径如下图,在[VDC控制台/系统设置/管理员设置/管理员密码策略],管理员密码策略默认开始,默认过期时间为90天,同时也可以自定义密码的过期时间。
当密码过期时间小于7天内,开始提示,如下:
当密码过期后,必须强制修改密码。
在[系统设置/管理员设置/管理员]页面下,选择相应的管理员,点击<删除>,输入当前管理员的密码,点击<确认>,完成对管理员的删除。