资源域概念与使用
ONE平台为用户提供了专业的企业级权限管理能力,支持按照环境、资源域进行多层级的权限管理。为了帮助用户能更合理规划ONE平台内的访问控制体系,故在此章节对使用平台访问控制能力需要了解的概念及平台中环境和资源域功能的使用进行统一介绍。
平台访问控制体系关键概念说明
下图描述了ONE资源管理过程中涉及的相关概念及概念间的相互作用关系,您可结合图示内容及后续的概念说明内容了解整个ONE平台的资源管理方式。
概念说明:
-
ONE平台:一套完整部署的ONE功能集合,包括各种前/后端组件及服务运行的基础设施;
-
主账户(租户):ONE平台下的标准管理单元,租户间数据完全隔离,在公有云环境一个客户对应一个主账户,用户的License申请和管理也都是基于主账户进行的;
-
环境:租户下的资源管理单元,环境间数据隔离,平台采集、集成、用户创建的数据均需归属在某个环境下,用户在平台的运维监控工作均需基于某个环节进行;
-
资源域:环境下为某种数据查询场景定义的一组资源查询条件,主要用于控制用户在环境下的数据查询范围;
-
IAM用户:ONE平台功能的使用者,用户可使用的功能和可读/写的数据受用户权限控制。
上图中租户下的资源体系和IAM体系代表平台两种不同类型功能的功能集合,并非平台面向客户的直接产品概念,仅是为了帮助用户理解平台功能体系的图示说明。
环境和资源域使用指南
环境
环境作为最基础的资源管理概念,您可按租户内是否存在需要数据隔离的场景来判断是否需要进行环境划分,并基于实际使用需要进行环境规划和管理。
因环境间数据隔离且平台暂不支持环境间的数据迁移,故请务必在数据上报之初就做好环境规划和划分,并按规划进行数据上报;如后续调整数据上报环境将出现历史数据因处于不同环境无法关联分析的现象。
平台默认预置Default环境,如租户内不存在数据隔离场景用户直接将数据上报至此环境并在后续使用。
如存在测试环境、生产环境将数据上报至同一主账户下使用的类似场景,因这种生产和测试环境无关联分析场景且存在大量同名服务不隔离对用户日常使用影响较大,故建议此类场景下用户使用环境概念进行数据隔离;管理员可直接使用环境与资源域页面创建环境的功能创建环境。
对于已创建环境可基于环境列表功能对其进行管理,包括:编辑环境名称和描述及删除不再使用的环境。
因删除环境平台将同步删除环境下所有的数据,删除后不可恢复,故建议如非确认环境不再使用请勿进行环境删除操作。
如管理员创建多个环境且为用户分配对应环境的访问权限,用户可通过导航的环境切换功能切换至不同环境下使用ONE平台功能。
资源域
资源域是环境下进行权限管理的重要概念,如需进行环境下更细粒度的数据权限管理,您可前往对应环境详情页进行资源域创建和管理。
平台默认预置“Admin resource”资源域代表环境管理员域,包含环境下的所有资源,如在实际使用场景中环境下无需进行权限控制,在用户权限定义时将此资源域分配给用户即可,后续用户将能使用对应环境下的所有资源。
因资源域本质是环境下为某种数据查询场景定义的一组资源查询条件,故用户定义资源域时需要指定资源域下包含资源的查询条件,为简化用户资源域配置和保证资源域定义面向用户自定义数据时的拓展性,平台在3.1.0版本后统一使用标签进行资源域定义,即用户为数据增加标签,在资源域定义时指定具备那些标签的数据需要被资源域包含。
平台区分资源域权限的数据展示页面均具备资源域切换组件,用户可切换查看自己有权限的不同资源域下的数据。
页面资源域切换组件默认选中“全部”选项代表查看用户有权限的所有资源域下的数据并集,用户如需查看某个特定资源域下的数据下拉切换选项即可实现数据过滤查询。