跳到主要内容
版本:FCP 25.05

权限说明

概述

FCP平台提供两种权限管理模式,满足不同场景下的安全管控需求:

  • 基于角色的授权(RBAC):通过角色进行批量授权,与具体资源无关,权限控制偏向于某一类型资源的操作,用户或组通过获得角色来执行角色所包含的业务操作,主要关注功能权限, 而非资源级的访问控制。

  • 基于访问控制的授权(ACL):针对具体资源进行精细化权限控制,精确管理哪些实体(用户或组)可以对哪些特定资源(如集群、挂载)执行哪些操作(如读取、更新、删除等)。

两种权限模式介绍

两种权限管理模式需要结合使用,以实现灵活的权限策略,以下为权限的生效规则

  • 对于用户的自有资源:在满足角色权限的前提下, 资源的创建者拥有对资源的完全控制,无需额外权限.
  • 对于他人创建的资源,必须同时满足以下两个条件:
    • 角色权限: 您拥有操作这类资源的功能权限,该权限由管理员用户分配。
    • 访问控制权限:拥有目标资源的ACL权限,该权限由管理员或资源所有者配置。

基于角色的授权(RBAC)

一个角色对应一组权限,权限决定了可以对资源执行的操作。向用户、组授予某角色,即授予该角色所包含的所有权限。

新建角色

管理员可以创建自定义角色,并根据实际需求为这些角色分配特定权限。另外平台默认提供ADMIN角色,该角色拥有对平台上所有资源的完全控制权限。创建自定义角色的操作步骤如下:

  1. 进入"用户与管理 > 角色管理"

  2. 点击"新建角色"按钮

  3. 填写角色信息:

    • 角色名称:唯一标识符(如"项目管理员")

    • 描述:说明角色的用途和权限范围

  4. 配置权限集:

    • 从权限树中选择相应操作权限

    • 支持按资源类型筛选(任务/集群/桌面等)

  5. 点击"确认"完成创建

编辑角色

点击“编辑”按钮,可以修改该角色名称、描述和权限集。

删除角色

当角色不再使用,可以选择删除角色,点击“删除”按钮,确认删除即可。

关联角色

给用户授权

  1. 进入"用户管理"选择目标用户
  2. 点击"编辑"
  3. 从可用角色列表中为用户选择一个或多个角色
  4. 确认授权
  5. 点击目标用户,可以查看该目标用户的全局权限列表和全局访问控制列表

给组授权

  1. 进入"组管理"选择目标组
  2. 点击"编辑"
  3. 从可用角色列表中为组选择一个或多个角色
  4. 确认授权,授权将自动应用于组内所有成员,支持继承规则,即新成员自动获得组角色。
  5. 点击目标组,可以查看该目标组的全局权限列表和全局访问控制列表

权限策略详细说明

权限名称模块UI描述
管理任务模板标签任务模板标签计算>应用中心>任务模板对任务模板标签进行管理, 包括增删改查等操作
新建任务CWL任务计算>应用中心>任务管理创建CWL任务以完成某类计算需求
读取任务CWL任务计算>应用中心>任务管理读取CWL任务列表, 如: 获取列表, 详情等
更新任务CWL任务计算>应用中心>任务管理更新CWL任务, 如: 取消
删除任务CWL任务计算>应用中心>任务管理从系统中删除CWL任务
创建任务模板CWL任务模板计算>应用中心>任务模板创建CWL任务模板以用于后续创建CWL任务
读取任务模板CWL任务模板计算>应用中心>任务模板读取CWL任务模板记录, 如: 获取CWL任务模板列表/详情等
更新任务模板CWL任务模板计算>应用中心>任务模板更新CWL任务模板, 如: 更新名称, 描述, 定义等
删除任务模板CWL任务模板计算>应用中心>任务模板从系统中删除CWL任务模板
新建任务直通任务计算>应用中心>任务管理创建直通任务以完成某类计算需求
读取任务直通任务计算>应用中心>任务管理读取直通任务, 如: 列表, 详情等
更新任务直通任务计算>应用中心>任务管理更新直通任务, 如: 取消
删除任务直通任务计算>应用中心>任务管理删除直通任务记录
创建任务模板直通任务模板计算>应用中心>任务管理创建直通任务模板以用于后续创建直通任务
读取任务模板直通任务模板计算>应用中心>任务管理读取直通任务模板, 如: 列表, 详情等
更新任务模板直通任务模板计算>应用中心>任务管理更新直通任务模板, 如: 直通任务配置
删除任务模板直通任务模板计算>应用中心>任务管理删除直通任务模板记录
创建集群集群计算>HPC集群服务>集群管理创建一个新的集群并分配相关资源
读取集群集群计算>HPC集群服务>集群管理获取集群的基本信息, 如列表, 详情
更新集群集群计算>HPC集群服务>集群管理修改集群配置信息, 如: 添加/删除分区, 增加/删除集群配额, 更新集群防火墙, SSH登录限制, 释放保护
释放集群集群计算>HPC集群服务>集群管理释放集群并移除其占用的资源
更新集群ACL集群计算>HPC集群服务>集群管理更新集群的ACL权限列表
创建集群模板集群模板计算>HPC集群服务>集群模板创建集群模板
读取集群模板集群模板计算>HPC集群服务>集群模板读取集群模板, 如: 列表, 详情
更新集群模板集群模板计算>HPC集群服务>集群模板更新集群模板, 如: 名称, 描述, 配置清单
删除集群模板集群模板计算>HPC集群服务>集群模板删除集群模板
创建SSH连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上创建SSH连接会话
创建VNC连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上创建VNC连接会话
创建RDP连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上创建RDP连接会话
断开SSH连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上断开SSH连接会话
断开VNC连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上断开VNC连接会话
断开RDP连接会话连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面上断开RDP连接会话
连接会话复制数据(从连接会话复制数据)连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面的连接会话中复制剪切板中的数据
连接会话粘贴数据(粘贴数据到连接会话)连接会话计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理在集群/桌面的连接会话中将数据粘贴到剪切板
创建桌面桌面计算>桌面接入服务>桌面管理创建桌面并分配相关资源
读取桌面桌面计算>桌面接入服务>桌面管理读取桌面, 如: 列表, 详情
更新桌面桌面计算>桌面接入服务>桌面管理更新桌面, 如: 释放保护, 新增节点
释放桌面桌面计算>桌面接入服务>桌面管理释放桌面
更新桌面ACL桌面计算>桌面接入服务>桌面管理更新桌面的ACL权限列表
创建桌面应用桌面应用计算>桌面接入服务>桌面应用创建桌面应用用于后续在Web-Portal中运行桌面任务
读取桌面应用桌面应用计算>桌面接入服务>桌面应用读取桌面应用, 如: 列表, 详情
更新桌面应用桌面应用计算>桌面接入服务>桌面应用更新桌面应用, 如: 名称, 描述, 图标
删除桌面应用桌面应用计算>桌面接入服务>桌面应用删除桌面应用记录
管理主机计算服务计算>计算服务对主机进行管理, 如: 添加/测试/升级等
管理主机组计算服务计算>计算服务对主机组进行管理, 如: 添加/删除等
创建挂载挂载存储>存储服务>挂载管理创建挂载, 用于后续存储的挂载, 集群的挂载
读取挂载挂载存储>存储服务>挂载管理读取挂载, 如: 列表, 详情
删除挂载挂载存储>存储服务>挂载管理删除挂载
绑定存储存储存储>数据中心>数据管理将外部存储挂载到系统中
读取存储存储存储>数据中心>数据管理读取存储并操作存储中的文件, 如: 存储列表, 创建文件夹, 删除文件, 文件详情
解绑存储存储存储>数据中心>数据管理卸载系统中挂载的外部存储
上传文件到存储存储存储>数据中心>数据管理将文件上传到存储中
从存储下载文件存储存储>数据中心>数据管理下载存储中的文件
数据下载审批审批存储>数据中心>审批管理审批用户在DM侧发起的审批申请, 此权限来自审批策略配置
管理子网网络服务网络>网络服务对子网进行管理, 如: 创建, 删除, 获取子网信息
管理网络代理网络服务网络>网络服务对网络代理进行管理, 如: 创建, 删除, 修改, 获取网络代理信息
管理节点监控监控告警运维>监控告警>管理节点监控在管理节点监控中查看管理节点的监控数据, 如: 主机监控, 服务状态监控
运营总览分析与报表运维>分析与报表>运营总览查看运营总览数据, 如: 平台/集群/任务/用户 维度数据
创建用户身份与访问用户与授权>用户管理创建用户记录, 新用户可以登录平台并进行后续的操作
读取用户身份与访问用户与授权>用户管理读取用户记录, 如: 列表, 详情
更新用户信息身份与访问用户与授权>用户管理更新用户的信息, 如: 手机号, 登录Shell, 用户目录, 邮箱
重置用户密码身份与访问用户与授权>用户管理重置用户的密码, 用户可以通过新密码登录平台
更新用户状态身份与访问用户与授权>用户管理更新用户的状态, 如: 将用户的状态改为正常/锁定
更新用户角色身份与访问用户与授权>用户管理更新用户的角色列表以控制用户拥有哪些权限
删除用户身份与访问用户与授权>用户管理删除用户记录
创建组身份与访问用户与授权>用户管理创建用户组记录
读取组身份与访问用户与授权>用户管理读取用户组记录, 如: 列表, 详情
更新组信息身份与访问用户与授权>用户管理更新用户组信息, 如: 描述, 企业微信, 飞书, 钉钉
更新组角色身份与访问用户与授权>用户管理更新用户组的角色列表以控制用户组下的用户拥有哪些权限
删除组身份与访问用户与授权>用户管理删除用户组记录
管理用户组成员关系(更新用户组)身份与访问用户与授权>用户管理管理用户和用户组之间的成员关系, 如: 控制用户有哪些用户组, 用户组有哪些用户
创建角色身份与访问用户与授权>用户管理创建角色记录并配置权限
读取角色身份与访问用户与授权>用户管理读取角色记录
更新角色身份与访问用户与授权>用户管理更新角色信息, 例如: 名称, 描述, 权限列表
删除角色身份与访问用户与授权>用户管理删除角色记录
管理操作日志审计日志用户与授权>管理和审批>审计日志查看所有操作日志
非管理操作日志审计日志用户与授权>管理和审批>审计日志查看非管理员级别的操作日志
管理许可证系统用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置管理许可证, 如: 更新许可证
管理审批策略系统用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置管理审批策略, 如: 启用/禁用 审批策略, 编辑审批流程中参与的审批员
管理全局配置系统用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置管理全局配置, 如: VNC配置
更新安全策略系统用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置管理密码安全策略, 如: 密码长度, 登录错误次数上限
更新密码策略系统用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置管理系统安全策略, 如: WEB端用户无操作自动登出时间设置, DM客户端token有效期

基于访问控制的授权(ACL)

访问控制列表(ACL)是FCP平台提供的精细化权限管理机制,允许管理员针对具体资源设置用户/组的操作权限。与

基于角色的授权(RBAC)相比,ACL提供了更细粒度的权限控制能力。

给用户/组授权

  1. 导航至目标资源(如:集群管理、存储挂载等)
  2. 在资源详情页面,点击"访问控制"选项
  3. 添加授权条目:
    • 选择授权对象(用户或组)
    • 设置操作权限(读取、更新、删除等)
  4. 点击"确定"应用设置

回收授权

方式一:通过资源访问控制界面

  1. 导航至目标资源的"访问控制"页面
  2. 在授权列表中找到目标条目
  3. 点击对应行末的"删除"图标
  4. 确认回收操作

适用场景:需要批量清理某资源的所有授权时推荐使用

方式二:通过用户/组管理界面

  1. 进入"用户与授权 > 用户管理/组管理"
  2. 搜索并选择目标用户
  3. 点击"权限管理"
  4. 在访问控制列表中可以:
    • 查看该用户所有ACL权限
    • 查找特定资源权限
    • 点击"删除"按钮移除对应权限

适用场景:需要集中管理特定用户的所有权限时推荐使用

权限策略详细说明

权限名称模块UI描述
读取任务模板CWL任务模板计算>应用中心>任务模板读取目标CWL任务模板
更新任务模板CWL任务模板计算>应用中心>任务模板更新目标CWL任务模板
读取任务模板直通任务模板计算>应用中心>任务模板读取目标直通任务模板
更新任务模板直通任务模板计算>应用中心>任务模板更新目标直通任务模板
读取集群集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析读取目标集群
更新集群集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析更新目标集群, 如: 释放保护, 登录限制, 自定义参数
释放集群集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析释放目标集群
更新集群ACL集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析更新目标集群的ACL权限列表
集群分析集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在集群分析中的集群列表中看到目标集群, 并查看此集群的全局分析数据, 如: 该集群下所有用户的fsched任务, 如果用户拥有读取集群的ACL权限, 那么该用户可以在集群分析中的集群列表中看到目标集群, 并能够分析和自己相关的集群分析数据, 如: 自己在该集群上的fsched任务
创建集群分区集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上创建集群分区
释放集群分区集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群中释放自己创建的分区
更新集群防火墙规则集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析更新目标集群的防火墙规则.
创建SSH连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上创建SSH连接会话
创建VNC连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上创建VNC连接会话
创建RDP连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上创建RDP连接会话
断开SSH连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上断开SSH连接会话
断开VNC连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上断开VNC连接会话
断开RDP连接会话集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析在目标集群上断开RDP连接会话
连接会话复制数据(从连接会话复制数据)集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析复制目标集群的连接会话上的剪切板数据
连接会话粘贴数据(粘贴数据到连接会话)集群计算>HPC集群服务>集群管理 运维>监控告警>集群监控粘贴数据到目标集群的连接会话上的剪切板
更新集群分区集群分区计算>HPC集群服务>集群管理更新目标集群分区的配置, 如: 增加节点
更新集群分区ACL集群分区计算>HPC集群服务>集群管理更新目标集群分区的ACL权限列表
更新集群分区配额集群分区计算>HPC集群服务>集群管理更新目标集群的配额
删除集群分区配额集群分区计算>HPC集群服务>集群管理删除目标集群的配额
管理Fsched作业集群分区计算>HPC集群服务>集群管理成为目标集群的Fsched分区管理员, 管理该分区下的所有fsched任务
读取模板集群模板计算>HPC集群服务>集群模板读取目标集群模板
读取桌面桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控读取目标桌面
更新桌面桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控更新目标桌面, 如: 释放保护
释放桌面桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控释放目标桌面
更新桌面ACL桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控更新目标桌面的ACL权限列表
更新桌面防火墙规则桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控更新目标桌面的防火墙规则
创建SSH连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上创建SSH连接会话
创建VNC连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上创建VNC连接会话
创建RDP连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上创建RDP连接会话
断开SSH连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上断开SSH连接会话
断开VNC连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上断开VNC连接会话
断开RDP连接会话桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控在目标桌面上断开RDP连接会话
连接会话复制数据(从连接会话复制数据)桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控复制目标桌面的连接会话上的剪切板数据
连接会话粘贴数据(粘贴数据到连接会话)桌面计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控粘贴数据到目标桌面的连接会话上的剪切板
读取桌面应用桌面应用计算>桌面接入服务>桌面应用读取目标桌面应用
更新桌面应用桌面应用计算>桌面接入服务>桌面应用更新目标桌面应用
使用主机组关联的主机主机组计算>计算服务>主机组管理使用主机组关联的主机
读取挂载挂载存储>存储服务>挂载管理读取目标挂载
更新挂载ACL挂载存储>存储服务>挂载管理更新目标挂载的ACL权限列表
使用子网子网网络>网络服务>子网管理使用目标子网