云途腾大型技术专题系列

不同类型的平台都有符合其商业特点和使用场景的账户体系。对于某些工具性产品而言，虽并不需要强制用户注册与登陆，但良好的账户体系可以帮助提高用户留存；对于社交或者支付产品来说，需要用户提供相应的信息注册账号，一个条理清晰的账户体系利于留存用户和产品运营。
对于云计算管理平台而言，无论是资源的使用与管理、还是计量与计费、审批等业务操作，都需要依靠于完整的账户体系。云管理平台中各租户资源隔离，云计算资源均为用户的资产，具有一定私密性，这要求账户体系在隔离用户的同时注重账户安全的问题。
信息系统安全等级保护针对信息系统中账号的使用与安全也提出了一些具体的要求。一个合规的安全信息系统需要对用户的操作权限进行明确的区分，这要求账户体系中包含完整严密的角色权限管理模块。此外安全等级保护对于账户的使用与安全也有详细规定。在设计账户体系时，需要根据具体的规定和用户体验，灵活地调整使其更符合当前业务逻辑和安全要求。

1.账号的分类

在企业云平台中，账号主要分为两大类：管理员账号和控制台账号。

管理员
超级管理员可以通过角色管构建出具有不同管理员权限的账号，例如仅包含审计功能的审计管理员或者仅负责审批的审批管理员，客户可以根据公司实际组织结构和业务场景灵活创建多样的管理员账号；

控制台用户
仅具有资源控制台权限的用户即为控制台用户，控制台用户分为账户管理员和普通用户（也可以称为子账户）。

账户管理员的角色由具有想要操作权限的后台管理员指定，账户管理员也应可通过角色管理设定具有不同操作权限的普通用户，普通用户的角色权限是其账户管理员权限的子集，且普通用户在审批和消费等功能模块的权限和账户管理员不同。

*注：虽然账户管理员名称也带有管理员，但其仅能管理自己账户名下的资源，并不具有管理后台的操作权限。*

2.账号的来源

在企业云平台中，针对前端操作入口来说，主要有以下两种账号生成方式：创建和注册，而针对不同类型的账号，账号生成方式略有不同。

管理员账号
在部署企业云平台时，内置了一个超级管理员，此账号拥有平台最大管理权限，平台管理人员可以通过此账号根据公司业务需求和运营情况搭建符合公司要求的权限体系，并逐一创建具有不同角色的管理员账号。

*注：因超级管理员账号具有最高权限，提升管理员账号密码复杂度，并妥善保存账号的登录信息尤为重要*

控制台账号
控制台账号分为账户管理员账号和普通用户账号，其中账号管理员可以由客户自行注册(需启用账号注册模块)或者管理员直接创建的方式产生，普通用户（即子账户），可以由账户管理员直接创建。

3.账号的管理

在企业云平台中，账户管理员可以管理普通用户，具有用户管理权限的管理员可以管理其他管理员和账户管理员，不同种类的用户可进行的管理操作也不同。

普通用户的管理
普通用户由账户管理员单独管理，目前大部分企业云平台仅提供账户管理员直接创建的方式来生成普通用户， 暂不提供直接注册普通用户的功能。
账户管理员可与直接调整普通用户的名称、密码、项目和配额等信息。
未来出于系统安全的考虑，可增加对于普通用户的登录时间或IP限制、操作权限管理等访问控制功能。

账户管理员的管理
账户管理员由具有用户管理权限的管理员直接管理，目前在主流企业云平台中，如果在部署平台之初开启了账号注册模块，用户便可以自行注册账户管理员账号。否则只能通过管理员创建的方式生成新账号。
不同客户对于账户管理员权限有不同的要求，如果客户需要自由调整账户管理员的角色，可以由管理员在后台进行相应操作即可，如果客户有自行设定的固定的平台管理和资源使用的组织体系，可以根据客户的实际使用需求灵活配置对应的权限和账号。
具有相应权限的管理员可以查看到账户管理员的状态信息，还能针对不同状态的账户管理员进行对应的操作。
未来出于系统安全的考虑，可增加对于普通用户的登录时间或IP限制、操作权限管理等访问控制功能。

管理员的管理
管理员由具有用户管理权限的管理员直接管理，管理员的管理为敏感操作，涉及到整个云管理平台的正常安全运行问题。因此，多数客户会颇为重视管理员的管理问题，要点之一就是之前提到的账号产生方式，在此不另外赘述。为保证管理员操作的独立性和可控性，可依据管理员权限分散和专一化的原则切分管理员权限，将全部管理员权限划分为不同种类的管理员，并将不同管理员账号交给不同的公司员工使用，从而一定程度上提升平台安全性。

除了以上的方式，还可以通过登录IP地址、访问时间和其他登录唯一性的控制方式来进一步保证管理员账号的操作安全性。

管理员账号也具有类似于账户管理员的状态，不同状态的管理员账号可以进行不同的业务操作，同时具有账户管理员管理权限的管理员可以修改这一状态。

账号相关安全设置
系统中的账号安全性问题十分重要，对于账号安全的限制和配置越多，账号越安全，同时却提升了操作难度。不同客户对于账号安全性的需要会有差异，客户可以根据不同的需要灵活配置一些安全设置，从而在安全性和便利性中寻求平衡。

例如某些黑客在暴力破解密码时，会利用某些用户将密码和用户名设置为相似的字段，从而轻易获取账号，平台中可以支持对于密码和用户名的字符匹配度进行限制，从而提升账户安全。

当然系统也可以采用图形验证码或二次身份校验的方式来避免黑客暴力破解账号，从而减少账户可能遭遇的风险。

4.账号、项目与子账号

在OpenStack中，旧版本用户身份管理有三个主要的概念：

1. 用户Users：有身份验证信息的API消费实体。
2. 租户Tenants：可以理解为项目，用户通过租户访问计算管理资源，而资源也是依托于项目而存在的。
3. 角色Roles：角色是可执行一特定系列操作的用户特性，角色规定了用户在某个租户中的一系列权利和特权。

网上看到一个例子：
用户代表员工1，他持有相关的信息，例如姓名、工号、电子邮箱等。 项目组属于不同的租户。用户1可以同时属于不同的几个项目组。当员工1提出申请出差补贴的请求时，必须指定一个他所属的项目组。而角色则规定了该员工在某一个项目组所拥有的权限，比如什么费用可以报销，什么不可以报销。

上面以公司某员工需要向公司财务部门申请出差费用报销为例，简要说明了三者关系。

现代一些企业规模较大，公司部门层级较多，分公司或者各部门在具有相对独立的业务的同时也会共同参与某些项目，这就需要云计算管理平台可以支持账号分级和项目划分。

每个账户管理员相当于分公司或部门的直接管理人，其名下包含有资金帐户，此资金帐户只能由账户管理员和系统后台管理直接员操作。为了实现对资源和经费用度的灵活控制，账户管理员可以将帐户中的资金分配给子账号，也可以选择将账户余额完全共享给全部或部分子账号，每个子账号能使用的资金由账户管理员自由分配。

与传统OpenStack账号项目体系不同的是，虽然项目的名称、配额项目成员等信息只能由创建该项目的账户管理员和后台管理员管理，但此时项目不再专属于唯一一个账户管理员，其他账户管理员及其名下的子账号（即普通用户）也可以作为成员加入该项目，项目中的资源消费计到每一个用户名下，并依据项目和归属账户进行分类统计。

为进一步保证财务安全，可开启审批模块，使得每一笔消费在产生之前都经过账户管理员的审批同意。

5.总结

本文简要介绍了云管理平台的部分账户体系的内容，书写的方向也更倾向与企业用户，并没有过多涉及公有云账号和用户运营相关内容。账号体系是一个庞大的结构，下面账户体系总览虽然庞大，但也并未完全列出账号体系所有要点和细节，只是对本文的内容加以阐释，如果读者对账户体系有兴趣，想了解更多内容，可以在文章下面留言告诉我们，我们会在第一时间针对您的诉求给与回复。

文章相关名词解释

1.账号：用来登录云管理平台的凭证，即在当前 系统的识别信息，账号可作为独立单元进行一些业务操作，其可以管理、拥有和使用资源，通常账号依据其权限可分为多种类型。
2.管理员：一种账号类型，通常被系统的运营管理人员所使用，具有管理一般账号和用户的权限。
3.账号管理员：为一种控制台用户，具有独立性，可独立进行财务及资源用度管理，也可称为主账号。
4.普通用户（子账号）：为一种控制台用户，不具独立性，依附于主账号，可进行部分业务操作，不具备独立财务管理的权限。
5.权限：准许进行某项操作，只有具备某项权限，才能获许进行对应的增删改查操作。
6.角色：角色是一系列权限的集合，不同角色通常包含不同的权限，例如控制台角色和管理后台角色具有各自的权限树，用户也必须具有一定角色才能进行业务操作。
7.项目：为完成某一特定任务或业务所创建的具有一定资源额度的分组，用户和账户管理员所能管理和使用的资源均从属于某一项目中，统一用户在不同项目中可以具有不同的角色。
8.注册模块：为独立模块，客户可根据实际需要选择是否部署此模块，部署此模块后，可通过注册的方式由用户自己生成账户管理员。关闭此模块后，仅能通过相应管理员直接创建的方式生成账户管理员。
9.计费模块：此模块为BOSS系统的一部分，启用计费模块可以支持控制台客户充值及购买资源，管理员可以通过计费来实现对控制台客户的资源用度控制和统计。
10.审批模块：大多企业用户再生产中需要采用审批流程，启用审批模块可以支持企业客户在使用云管理平台时实现层层审批，从而严格控制控制台客户的操作。