概述
TI-ONE 全新发布了基于工作空间的权限管理功能,相比于腾讯云访问管理(Cloud Access Management,CAM)+ 腾讯云标签(TAG)的权限管理功能在资源隔离的便捷性上有显著改善。本文介绍新旧权限体系的区别及迁移方法。
基于 CAM+TAG(旧版)的权限管理特性
TI-ONE 权限管理旧版:基于腾讯云访问管理(CAM)+ 腾讯云标签(TAG)实现权限管理能力。主账号拥有平台最高权限,可创建子账号并通过预设策略或自定义策略为其分配 TI-ONE 操作权限。配置权限前需理解 CAM 策略机制。
旧版的最佳实践详见:基于标签实现子用户间资源隔离
基于工作空间(新版)的权限管理特性
TI-ONE 权限管理新版: 通过 TI-ONE 工作空间和角色管理,为企业和团队提供计算资源及成员权限的隔离能力。新版工作空间权限体系旨在解决旧版的复杂性,为团队协作提供开箱即用的隔离与管理能力。
升级后的优势
新版工作空间权限体系旨在解决旧版的复杂性,为团队协作提供开箱即用的隔离与管理能力。用户无需深入理解访问管理(CAM)策略及标签(TAG)配置,即可更直观、便捷地使用工作空间对子用户的可用资源和数据资产进行隔离。同时,能够针对不同子用户,通过角色配置不同的功能权限点和数据权限点,实现权限的细粒度划分。
下表对比了新版和旧版的核心差异:
特性维度 | 旧版(基于 CAM+TAG) | 新版(基于工作空间) | 升级的优势 |
权限配置 | 需理解 CAM 策略语法,配置复杂,学习成本高。 | 图形化界面操作,通过勾选即可为角色分配精细权限,直观便捷。 | 降低管理门槛,开箱即用。 |
资源隔离 | 依赖手动为资源打标签来实现隔离,创建任务和服务都需要通过标签。 | 资源组直接与工作空间绑定,资源和资产天然隔离。 | 强化安全性与隔离性,避免误操作。 |
用户体验 | 用户需在控制台全局视图下操作,需通过创建标签来筛选资源和资产。 | 用户登录后进入特定工作空间,所见即所得,仅限该空间内的资源和功能。 | 聚焦团队内工作,提升协作效率,减少不同团队间的干扰。 |
简单来说,新版将权限和资源管理从“代码级”的配置(CAM+TAG)转变为“空间级”的管理(工作空间+成员权限管理),更加直观的支持用户的多项目团队管理。
基于工作空间的权限管理最佳实践
配置方式说明:通过工作空间实现子用户间的资源隔离,并且可配置子用户角色的详细权限点。
场景说明
下面以资源组和在线服务为例进行说明。假设主账号企业下有两个团队:大模型文本团队 llm_text 和大模型图像团队 llm_picture。这两个团队都需要使用 TI-ONE 产品,分别使用两个不同的资源组和在线服务。具体信息如下:
资源组 ID | 在线服务 | 所属团队 |
rsg-wwb2hgrs | llm_text | llm_text 团队 |
rsg-zbqrjvlz | llm_picture | llm_picture 团队 |
配置步骤
步骤1:创建工作空间
1. 参考 工作空间 文档,分别创建 llm_text 和llm_picture 两个工作空间。这两个空间相互独立,一个空间内的数据资产对另一空间的成员不可见。
2. 为 llm_text 工作空间,关联资源组 rsg-wwb2hgrs。
步骤2:成员权限管理
1. 进入 llm_text 工作空间,导航至“平台管理” -> “成员权限管理”,为团队内成员分配“开发人员”或“管理员”。
2. 支持新建用户:单击新建用户将跳转到腾讯云 CAM 控制台。新建用户时,请预先为其分配“QcloudTIONEFullAccessContainMultiservice”预设策略。
3. 支持自定义角色(可选):如需更精细的权限控制,可在“角色管理”中创建新角色,然后前往“权限管理”为该角色分配具体的功能权限点和数据权限点。具体权限点配置详见 成员权限管理。
步骤3:创建服务并选择资源组
1. 在 llm_text 工作空间内,进入“在线服务”页面,创建名为 llm_text 的在线服务。
2. 在创建过程中,选择已关联的资源组 rsg-wwb2hgrs 并部署服务。
3. 该服务将仅在其所属的工作空间 llm_text 内可见,且只有该工作空间的管理员和服务创建人有权进行操作。
步骤4:为其他团队创建工作空间
1. 为 llm_picture 团队创建新的工作空间,并为其关联资源组 rsg-zbqrjvlz。
2. 在该工作空间内,重复上述第一至第三步的配置。
3. 进入该工作空间的“在线服务”页面,创建名为 llm_picture 的在线服务,选择资源组 rsg-zbqrjvlz 并部署服务。该服务仅在其所属的 llm_picture 工作空间内可见和管理。
新旧版本兼容及迁移说明
迁移准备
为确保升级过程平稳,请务必完成以下准备工作:
1. 功能开通:确认主账号已加入工作空间功能白名单。
2. 架构梳理(最关键的一步):建议在升级前,梳理以下事项:
团队划分:明确企业内存在多少个独立的项目或团队(例如:llm_text 团队,llm_picture 团队)。
资源归属:明确每个团队当前正在使用哪些资源组,以及这些资源组在旧版体系中被打上了何种标签。
成员权限:明确每个团队的成员需要哪些操作权限,以及团队中共有几种角色及其对应的权限点(例如:仅开发、可管理模型服务、可管理成员等)。
3. 理解兼容性:升级后,平台内两种权限体系将并行取交集。
默认工作空间:继续沿用旧版的 CAM 体系,作为升级期间的稳定保障。
新建的工作空间:完全使用新版权限体系。
迁移流程
步骤1:创建工作空间,关联资源
此步骤旨在为每个团队建立一个独立的“工作区域”,并将其现有资源划归该区域管理。
1. 登录创建:使用主账号登录 TI-ONE 控制台,在顶部导航栏单击新建空间。
2. 配置空间:根据规划,填写空间名称和描述,完成创建。
3. 关联资源:进入该工作空间的设置页面,将旧版权限体系中已打上对应标签的资源组关联到此空间。此操作将该资源组的管辖权从“标签”转变为“工作空间”。
步骤2:配置成员与权限
此步骤是权限模型升级的核心,用直观的用户角色分配替代复杂的 CAM 策略配置。
1. 添加成员:进入平台管理>成员权限管理。通过 “添加用户” 将现有子账号加入空间,或通过 “新建用户”邀请新成员。
2. 分配角色:
使用内置角色:直接为成员分配“管理员”(拥有空间管理权)或“开发人员”(拥有非管理功能使用权)等预设角色。
自定义角色:若内置角色不满足需求,可进入 “权限管理” 创建自定义角色,通过勾选功能权限点和数据权限点来精确控制权限,无需编写策略语法。
步骤3:迁移与管理现有资产
完成上述步骤后,新资源将自动归属工作空间,而旧有资产需特殊处理。
新空间新资产:成员在新空间内创建任务或服务时,可直接选择已关联的资源组,无需再手动打标签。
默认空间旧资产:对于已在默认空间(旧版)下的历史资产(如模型、数据集、服务等),需要人工迁移到新建空间。如果资产总量较大导致人工迁移工作量繁重,请联系腾讯云技术支持或您的产品经理,他们将依据原有的标签体系协助您完成批量迁移。
注意:
默认空间迁移:若计划将默认工作空间中的资产迁移到新的工作空间,需要依据已有的标签体系进行。请务必提前梳理清楚资产迁移的需求。
权限重叠处理:如果一个子账号同时在默认空间被配置了 CAM 策略,并在某个 TI-ONE 工作空间被授予了角色权限,其有效权限将是所有被授权限的交集,需注意权限交叉可能带来的范围缩小。
用户与工作空间关系:一个企业子账号可以被添加到多个不同的工作空间中,并在每个空间内被授予不同的角色权限。
