子账户:子账户由admin创建或统一认证系统同步,且受admin管理,子账户对自己创建的虚拟资源拥有管理权限。子账户对作用域的资源可以进行创建和管理,实现对资源归属及权限控制的细粒度划分。
相关定义
- 账户:
- admin账户:
- admin账户不受权限控制,拥有超级权限,通常由IT系统管理员拥有。
- admin账户可以共享计算规格、云盘规格、网络、镜像等资源给子账户,也可以对相关资源进行召回,不再共享。
- admin账户可以通过修改配额对子账户进行资源总量控制。
- admin账户创建VxlanNetworkPool后,子账户可以基于VxlanNetworkPool创建VxlanNetwork。
- 更改云主机所有者会更改云主机的EIP所有者属性。
- 子账户:
- 子账户可分为本地子账户和统一认证子账户:
- 本地子账户由admin账户直接创建,统一认证子账户由统一认证服务器同步至平台。
- 统一认证:平台提供的统一认证登录服务,支持无缝接入统一认证登录系统,相应账户将免密登录平台,便捷使用云资源,目前支持添加OIDC服务器。
- OIDC 服务器:基于OIDC协议建构的统一认证服务器,可认证并授权统一认证用户免密登录平台,并将用户信息按照映射规则同步至平台。
- 统一认证:平台提供的统一认证登录服务,支持无缝接入统一认证登录系统,相应账户将免密登录平台,便捷使用云资源,目前支持添加OIDC服务器。
- 本地子账户由admin账户直接创建,统一认证子账户由统一认证服务器同步至平台。
- 子账户对自己创建的云主机、镜像、云盘、安全组等资源拥有管理权限。
- 子账户可以对admin账户共享的资源进行读操作,但不可以进行删除操作。
- 删除子账户会导致此账户下的所有资源被删除,例如,云主机、云盘、镜像等。
- 子账户名称不可重复。
- 子账户首页看到的资源受admin账户分配的资源配额限制。
- 子账户创建云主机前,需要admin账户提前共享计算规格、网络和云盘规格等资源,否则不可创建云主机。
- 子账户可以添加自有的镜像文件,也可由admin账户提前共享。
- 子账户可分为本地子账户和统一认证子账户:
- admin账户:
- 配额:
- 又称子账户配额,是admin账户对子账户的资源总量进行控制的衡量标准,包括计算资源、存储资源、网络资源和其它资源。
- admin账户通过配置参数来对各个普通账户的资源总额进行控制。若执行资源删除操作,但还未彻底删除时,会占用主存储资源和云盘数量。
术语调整
ZStack Cloud
5.1.8开始,第三方认证更名为统一认证。下表记录了技术文档中因重命名而更新的一些常见术语。
| 旧术语 | 当前术语 |
|---|---|
| 第三方认证 | 统一认证SSO |
| 第三方认证服务器 | 统一认证服务器 |
| 第三方认证系统 | 统一认证系统 |
| 第三方用户 | 统一认证用户 |
| 第三方子账户 | 统一认证子账户 |
| 第三方属性 | 统一认证属性 |