权限说明
概述
FCP平台提供两种权限管理模式,满足不同场景下的安全管控需求:
-
基于角色的授权(RBAC):通过角色进行批量授权,与具体资源无关,权限控制偏向于某一类型资源的操作,用户或组通过获得角色来执行角色所包含的业务操作,主要关注功能��权限, 而非资源级的访问控制。
-
基于访问控制的授权(ACL):针对具体资源进行精细化权限控制,精确管理哪些实体(用户或组)可以对哪些特定资源(如集群、挂载)执行哪些操作(如读取、更新、删除等)。
两种权限模式介绍
两种权限管理模式需要结合使用,以实现灵活的权限策略,以下为权限的生效规则
- 对于用户的自有资源:在满足角色权限的前提下, 资源的创建者拥有对资源的完全控制,无需额外权限.
- 对于他人创建的资源,必须同时满足以下两个条件:
- 角色权限: 您拥有操作这类资源的功能权限,该权限由管理员用户分配。
- 访问控制权限:拥有目标资源的ACL权限,该权限由管理员或资源所有者配置。
基于角色的授权(RBAC)
一个角色对应一组权限,权限决定了可以对资源执行的操作。向用户、组授予某角色,即授予该角色所包含的所有权限。
新建角色
管理员可以创建自定义角色,并根据实际需求为这些角色分配特定权限。另外平台默认提供ADMIN角色,该角色拥有对平台上所有资源的完全控制权限。创建自定义角色的操作步骤�如下:
-
进入"用户与管理 > 角色管理"
-
点击"新建角色"按钮
-
填写角色信息:
-
角色名称:唯一标识符(如"项目管理员")
-
描述:说明角色的用途和权限范围
-
-
配置权限集:
-
从权限树中选择相应操作权限
-
支持按资源类型筛选(任务/集群/桌面等)
-
-
点击"确认"完成创建
编辑角色
点击“编辑”按钮,可以修改该角色名称、描述和权限集。
删除角色
当角色不再使用,可以选择删除角色,点击“删除”按钮,确认删除即可。
关联角色
给用户授权
- 进入"用户管理"选择目标用户
- 点击"编辑"
- 从可用角色列表中为用户选择一个或多个角色
- 确认授权
- 点击目标用户,可以查看该目标用户的全局权限列表和全局访问控制列表
给组授权
- 进入"组管理"选择目标组
- 点击"编辑"
- 从可用角色列表中为组选择一个或多个角色
- 确认授权,授权将自动应用于组内所有成员,支持继承规则,即新成员自动获得组角色。
- 点击目标组,可以查看该目标组的全局权限列表和全局访问控制列表
权限策略详细说明
| 权限名称 | 模块 | UI | 描述 |
|---|---|---|---|
| 管理任务模板标签 | 任务模板标签 | 计算>应用中心>任务模板 | 对任务模板标签进行管理, 包括增删改查等操作 |
| 新建任务 | 任务 | 计算>应用中心>任务管理 | 创建任务以完成某类计算需求 |
| 读取任务 | 任务 | 计算>应用中心>任务管理 | 读取任务, 如: 列表, 详情等 |
| 更新任务 | 任务 | 计算>应用中心>任务管理 | 更新任务, 如: 取消 |
| 删除任务 | 任务 | 计算>应用中心>任务管理 | 删除任务记录 |
| 创建任务模板 | 任务模板 | 计算>应用中心>任务管理 | 创建任务模板以用于后续创建任务 |
| 读取任务模板 | 任务模板 | 计算>应用中心>任务管理 | 读取任务模板, 如: 列表, 详情等 |
| 更新任务模板 | 任务模板 | 计算>应用中心>任务管理 | 更新任务模板, 如: 任务配置 |
| 删除任务模�板 | 任务模板 | 计算>应用中心>任务管理 | 删除任务模板记录 |
| 创建集群 | 集群 | 计算>HPC集群服务>集群管理 | 创建一个新的集群并分配相关资源 |
| 读取集群 | 集群 | 计算>HPC集群服务>集群管理 | 获取集群的基本信息, 如列表, 详情 |
| 更新集群 | 集群 | 计算>HPC集群服务>集群管理 | 修改集群配置信息, 如: 添加/删除分区, 增加/删除集群配额, 更新集群防火墙, SSH登录限制, 释放保护 |
| 释放集群 | 集群 | 计算>HPC集群服务>集群管理 | 释放集群并移除其占用的资源 |
| 更新集群ACL | 集群 | 计算>HPC集群服务>集群管理 | 更新集群的ACL权限列表 |
| 创建集群模板 | 集群模板 | 计算>HPC集群服务>集群模板 | 创建集群模板 |
| 读取集群模板 | 集群模板 | 计算>HPC集群服务>集群模板 | 读取集群模板, 如: 列表, 详情 |
| 更新集群模板 | 集群模板 | 计算>HPC集群服务>集群模板 | 更新集群模板, 如: 名称, 描述, 配置清单 |
| 删除集群模板 | 集群模板 | 计算>HPC集群服务>集群模板 | 删除集群模板 |
| 创建SSH连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上创建SSH连接会话 |
| 创建VNC连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上创建VNC连接会话 |
| 创建RDP连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上创建RDP连接会话 |
| 断开SSH连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上断开SSH连接会话 |
| 断开VNC连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上断开VNC连接会话 |
| 断开RDP连接会话 | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面上断开RDP连接会话 |
| 连接会话复制数据(从连接会话复制数据) | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面的连接会话中复制剪切板中的数据 |
| 连接会话粘贴数据(粘贴数据到连接会话) | 连接会话 | 计算>HPC集群服务>集群管理 计算>HPC集群服务>桌面管理 | 在集群/桌面的连接会话中将数据粘贴到剪切板 |
| 创建桌面 | 桌面 | 计算>桌面接入服务>桌面管理 | 创建桌面并分配相关资源 |
| 读取桌面 | 桌面 | 计算>桌面接入服务>桌面管理 | 读取桌面, 如: 列表, 详情 |
| 更新桌面 | 桌面 | 计算>桌面接入服务>桌面管理 | 更新桌面, 如: 释放保护, 新增节点 |
| 释放桌面 | 桌面 | 计算>桌面接入服务>桌面管理 | 释放桌面 |
| 更新桌面ACL | 桌面 | 计算>桌面接入服务>桌面管理 | 更新桌面的ACL权限列表 |
| 创建桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 创建桌面应用用于后续在Web-Portal中运行��桌面任务 |
| 读取桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 读取桌面应用, 如: 列表, 详情 |
| 更新桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 更新桌面应用, 如: 名称, 描述, 图标 |
| 删除桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 删除桌面应用记录 |
| 管理主机 | 计算服务 | 计算>计算服务 | 对主机进行管理, 如: 添加/测试/升级等 |
| 管理主机组 | 计算服务 | 计算>计算服务 | 对主机组进行管理, 如: 添加/删除等 |
| 创建挂载 | 挂载 | 存储>存储服务>挂载管理 | 创建挂载, 用于后续存储的挂载, 集群的挂载 |
| 读取挂载 | 挂载 | 存储>存储服务>挂载管理 | 读取挂载, 如: 列表, 详情 |
| 删除挂载 | 挂载 | 存储>存储服务>挂载管理 | 删除挂载 |
| 绑定存储 | 存储 | 存储>数据中心>数据管理 | 将外部存储挂载到系统中 |
| 读取存储 | 存储 | 存储>数据中心>数据管理 | 读取存储并操作存储中的文件, 如: 存储列表, 创建文件夹, 删除文件, 文件详情 |
| 解绑存储 | 存储 | 存储>数据中心>数据管理 | 卸载系统中挂载的外部存储 |
| 上传文件到存储 | 存储 | 存储>数据中心>数据管理 | 将文件上传到存储中 |
| 从存储下载文件 | 存储 | 存储>数据中心>数据管理 | 下载存储中的文件 |
| 数据下载审批 | 审批 | 存储>数据中心>审批管理 | 审批用户在DM侧发起�的审批申请, 此权限来自审批策略配置 |
| 审批数据管理权限 | 审批数据 | 存储>数据中心>审批数据 | 管理审批数据, 可查看暂存内文件以及查看或删除下载区内文件 |
| 管理子网 | 网络服务 | 网络>网络服务 | 对子网进行管理, 如: 创建, 删除, 获取子网信息 |
| 管理网络代理 | 网络服务 | 网络>网络服务 | 对网络代理进行管理, 如: 创建, 删除, 修改, 获取网络代理信息 |
| 管理节点监控 | 监控告警 | 运维>监控告警>管理节点监控 | 在管理节点监控中查看管理节点的监控数据, 如: 主机监控, 服务状态监控 |
| 运营总览 | 分析与报表 | 运维>分析与报表>运营总览 | 查看运营总览数据, 如: 平台/集群/任务/用户 维度数据 |
| 创建用户 | 身份与访问 | 用户与授权>用户管理 | 创建用户记录, 新用户可以登录平台并进行后续的操作 |
| 读取用户 | 身份与访问 | 用户与授权>用户管理 | 读取用户记录, 如: 列表, 详情 |
| 更新用户信息 | 身份与访问 | 用户与授权>用户管理 | 更新用户的信息, 如: 手机号, 登录Shell, 用户目录, 邮箱 |
| 重置用户密码 | 身份与访问 | 用户与授权>用户管理 | 重置用户的密码, 用户可以通过新密码登录平台 |
| 更新用户状态 | 身份与访问 | 用户与授权>用户管理 | 更新用户的状态, 如: 将用户的状态改为正常/锁定 |
| 更新用户角色 | 身份与访问 | 用户与授权>用户管理 | 更新用户的角色列表以控制用户拥有哪些权限 |
| 删除用户 | 身份与访问 | 用户与授权>用户管理 | 删除用户记录 |
| 创建组 | 身份与访问 | 用户与授权>用户管理 | 创建用户组记录 |
| 读取组 | 身份与访问 | 用户与授权>用户管理 | 读取用户组记录, 如: 列表, 详情 |
| 更新组信息 | 身份与访问 | 用户与授权>用户管理 | 更新用户组信息, 如: 描述, 企业微信, 飞书, 钉钉 |
| 更新组角色 | 身份与访问 | 用户与授权>用户管理 | 更新用户组的角色列表以控制用户组下的用户拥有哪些权限 |
| 删除组 | 身份与访问 | 用户与授权>用户管理 | 删除用户组记录 |
| 管理用户组成员关系(更新用户组) | 身份与访问 | 用户与授权>用户管理 | 管理用户和用户组之间的成员关系, 如: 控制用户有哪些用户组, 用户组有哪些用户 |
| 创建角色 | 身份与访问 | 用户与授权>用户管理 | 创建角色记录并配置权限 |
| 读取角色 | 身份与访问 | 用户与授权>用户管理 | 读取角色记录 |
| 更新角色 | 身份与访问 | 用户与授权>用户管理 | 更新角色信息, 例如: 名称, 描述, 权限列表 |
| 删除角色 | 身份与访问 | 用户与授权>用户管理 | 删除角色记录 |
| 管理操作日志 | 审计日志 | 用户与授权>管理和审批>审计日志 | 查看所有操作日志 |
| 非管理操作日志 | 审计日志 | 用户与授权>管理和审批>审计日志 | 查看非管理员级别的操作日志 |
| 管理许可证 | 系统 | 用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置 | 管理许可证, 如: 更新许可证 |
| 管理审批策略 | 系统 | 用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置 | 管理审批策略, 如: 启用/禁用 审批策略, 编辑审批流程中参与的审批员 |
| 管理全局配置 | 系统 | 用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置 | 管理全局配置, 如: VNC配置 |
| 更新安全策略 | 系统 | 用户与授权>管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置 | 管理密码安全策略, 如: 密码长度, 登录错误次数上限 |
| 更新密码策略 | 系统 | 管理和审批>审批策略 用户与授权>管理和审批>全局配置 用户与授权>管理和审批>安全配置 | 管理系统安全策略, 如: WEB端用户无操作自动登出时间设置, DM客户端token有效期 |
| 用量详情导出 | 账单 | 管理和审批>用量详情 | 导出给定时间范围内的用量详情 |
特殊权限:全局资源管理
警告
权限敏感性提示 以下权限属于 RBAC体系中的特权指令。
与普通权限不同,拥有此类权限的用户将直接获得对应模块下“所有资源”的访问或管理能力,无需在单个资源的ACL(访问控制列表)中进行授权。
此类权限通常仅授予资源管理员,其可以查看或管理对应模块下的所有资源,由于涉及模块下所有资源因此需谨慎分配。
| 权限名称 | 模块 | 权限特性描述 |
|---|---|---|
| 读取所有任务模板 | 计算>应用中心>任务模板 | 全局读取:可读取平台内所有的任务模板。 |
| 管理所有任务模板 | 计算>应用中心>任务模板 | 全局管理:对平台内所有的任务模板拥有完全控制能力。 |
| 读取所有任务 | 计算>应用中心>任务管理 | 全局读取:可读取平台内所有用户运行的任务详情。 |
| 管理所有任务 | 计算>应用中心>任务管理 | 全局管理:对平台内任意任务拥有完全控制能力。 |
| 读取所有集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 | 全局读取:可读取平台内所有HPC集群信息。不包含集群分析数据。 |
| 管理所有集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 全局管理:对平台内任意集群拥有完全控制能力。 |
| 读取所有集群模板 | 计算>HPC集群服务>集群模板 | 全局读取:可读取所有定义的集群模板信息。 |
| 管理所有集群模板 | 计算>HPC集群服务>集群模板 | 全局管理:对平台内任意集群模板拥有完全控制能力。 |
| 读取所有挂载 | 存储>存储服务>挂载管理 | 全局读取:可读取平台内所有存储挂载点的详细信息。 |
| 管理所有挂载 | 存储>存储服务>挂载管理 | 全局管理:对平台内任意挂载点拥有完全控制能力。 |
| 读取所有桌面 | 计算>桌面接入服务>桌面管理, 运维>监控告警>集群监控 | 全局读取:可读取平台内所有桌面。 |
| 管理所有桌面 | 计算>桌面接入服务>桌面管理, 运维>监控告警>集群监控 | 全局管理:对平台内任意桌面拥有完全控制能力。 |
| 读取所有桌面应用 | 计算>桌面接入服务>桌面应用 | 全局读取:可读取平台内所有桌面应用。 |
| 管理所有桌面应用 | 计算>桌面接入服务>桌面应用 | 全局管理:对平台内任意桌面应用拥有完全控制能力。 |
基于访问控制的授权(ACL)
访问控制列表(ACL)是FCP平台提供的精细化权限管理机制,允许管理员针对具体资源设置用户/组的操作权限。与
基于角色的授权(RBAC)相比,ACL提供了更细粒度的权限控制能力。
给用户/组授权
- 导航至目标资源(如:集群管理、存储挂载等)
- 在资源详情页面,点击"访问控制"选项
- 添加授权条目:
- 选择授权对象(用户或组)
- 设置操作权限(读取、更新、删除等)
- 点击"确定"应用设置
回收授权
方式一:通过资源访问控制界面
- 导航至目标资源的"访问控制"页面
- 在授权列表中找到目标条目
- 点击对应行末的"删除"图标
- 确认回收操作
适用场景:需要批量清理某资源的所有授权时推荐使用
方式二:通过用户/组管理界面
- 进入"用户与授权 > 用户管理/组管理"
- 搜索并选择目标用户
- 点击"权限管理"
- 在访问控制列表中可以:
- 查看该用户所有ACL权限
- 查找特定资源权限
- 点击"删除"按钮移除对应权限
适用场景:需要集中管理特定用户的所有权限时推荐使用
权限策略详细说明
| 权限名称 | 模块 | UI | 描述 |
|---|---|---|---|
| 读取任务模板 | 任务模板 | 计算>应用中心>任务模板 | 读取目标任务模板 |
| 更新任务模板 | 任务模板 | 计算>应用中心>任务模板 | 更新目标任务模板 |
| 读取集群 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 读取目标集群 |
| 更新集群 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 更新目标集群, 如: 释放保护, 登录限制, 自定义参数 |
| 释放集群 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 释放目标集群 |
| 更新集群ACL | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 更新目标集群的ACL权限列表 |
| 集群分析 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在集群分析中的集群列表中看到目标集群, 并查看此集群的全局分析数据, 如: 该集群下所有用户的fsched任务, 如果用户拥有读取集群的ACL权限, 那么该用户可以在集群分析中的集群列表中看到目标集群, 并能够分析和自己相关的集群分析数据, 如: 自己在该集群上的fsched任务 |
| 创建集群分区 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上创建集群分区 |
| 释放集群分区 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群中释放自己创建的分区 |
| 更新集群防火墙规则 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 更新目标集群的防火墙规则. |
| 创建SSH连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上创建SSH连接会话 |
| 创建VNC连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上创建VNC连接会话 |
| 创建RDP连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上创建RDP连接会话 |
| 断开SSH连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上断开SSH连接会话 |
| 断开VNC连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上断开VNC连接会话 |
| 断开RDP连接会话 | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 在目标集群上断开RDP连接会话 |
| 连接会话复制数据(从连接会话复制数据) | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 运维>分析与报表>集群分析 | 复制目标集群的连接会话上的剪切板数据 |
| 连接会话粘贴数据(粘贴数据到连接会话) | 集群 | 计算>HPC集群服务>集群管理 运维>监控告警>集群监控 | 粘贴数据到目标集群的连接会话上的剪切板 |
| 更新集群分区 | 集群分区 | 计算>HPC集群服务>集群管理 | 更新目标集群分区的配置, 如: 增加节点 |
| 更新集群分区ACL | 集群分区 | 计算>HPC集群服务>集群管理 | 更新目标集群分区的ACL权限列表 |
| 更新集群分区配额 | 集群分区 | 计算>HPC集群服务>集群管理 | 更新目标集群的配额 |
| 删除集群分区配额 | 集群分区 | 计算>HPC集群服务>集群管理 | 删除目标集群的配额 |
| 管理Fsched作业 | 集群分区 | 计算>HPC集群服务>集群管理 | 成为目标集群的Fsched分区管理员, 管理该分区下的所有fsched任务 |
| 读取模板 | 集群模板 | 计算>HPC集群服务>集群模板 | 读取目标集群模板 |
| 读取桌面 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 读取目标桌面 |
| 更新桌面 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 更新目标桌面, 如: 释放保护 |
| 释放桌面 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 释放目标桌面 |
| 更新桌面ACL | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 更新目标桌面的ACL权限列表 |
| 更新桌面防火墙规则 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 更新目标桌面的防火墙规则 |
| 创建SSH连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上创建SSH连接会话 |
| 创建VNC连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上创建VNC连接会话 |
| 创建RDP连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上创建RDP连接会话 |
| 断开SSH连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上断开SSH连接会话 |
| 断开VNC连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上断开VNC连接会话 |
| 断开RDP连接会话 | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 在目标桌面上断开RDP连�接会话 |
| 连接会话复制数据(从连接会话复制数据) | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 复制目标桌面的连接会话上的剪切板数据 |
| 连接会话粘贴数据(粘贴数据到连接会话) | 桌面 | 计算>桌面接入服务>桌面管理 运维>监控告警>桌面监控 | 粘贴数据到目标桌面的连接会话上的剪切板 |
| 读取桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 读取目标桌面应用 |
| 更新桌面应用 | 桌面应用 | 计算>桌面接入服务>桌面应用 | 更新目标桌面应用 |
| 使用主机组关联的主机 | 主机组 | 计算>计算服务>主机组管理 | 使用主机组关联的主机 |
| 读取挂载 | 挂载 | 存储>存储服务>挂载管理 | 读取目标挂载 |
| 更新挂载ACL | 挂载 | 存储>存储服务>挂载管理 | 更新目标挂载的ACL权限列表 |
| 使用子网 | 子网 | 网络>网络服务>子网管理 | 使用目标子网 |