Sub Account使用指南

使用前

Q. 什么是Sub Account？

• Sub Account是为了让多个用户使用和管理同一资源而提供子账户的服务。
• 子账户可以在被赋予的权限范围内自由使用和管理NAVER Cloud Platform服务。

Q. 账户和子账户有什么不同？

• 为了使用NAVER Cloud Platform服务而注册的邮件地址称为“账户”。 账户持有用户的个人信息和帐单信息，可以使用NAVER Cloud Platform的所有服务。
• “子账户”执行共同使用和管理账户资源的辅助角色，在被赋予的权限范围内可以自由使用服务。 被赋予NCP_SERVER_MANAGER（原服务器管理员）权限的子账户，可以使用Server的所有功能，子账户操作的所有内容可在Cloud Activity Tracer确认。
• 使用子账户的服务使用费将向创建子账户的账户请求支付。

Q. Sub Account应如何使用？

1. 内部用户在设置要使用的登录ID、用户名、访问类型、密码和策略后，注册为子账户。 账户用户可以使用Sub Account创建子账户。
2. 在Sub Account设置要使用子账户登录的访问页面。
3. 内部用户使用子账户专用访问页面登录子账户。 根据分配给子账户的策略提供NAVER Cloud Platform的服务和功能。

Q. Sub Account提供哪些功能？

• 仪表盘：仪表盘中可以确认子账户数量、群组数量、策略数量和访问页面设置。
• 子账户：可以创建新的子账户或修改/删除、暂停/终止现有子账户的信息。 在各个子账户详细页面中，可以添加/删除群组、策略或管理使用API Gateway所需的Access Key。
• 群组：可以创建/删除子账户组或变更名称。 可以向群组中添加/删除子账户或策略，以便在多个子账户中反映相同的策略。
• 策略：将子账户可以使用的权限捆绑后提供为策略。 可以确认策略列表、策略类型、权限和应用对象。
• STS（Secure Token Service）：可以创建并使用临时Access Key，以便控制对NAVER Cloud Platform内资源的访问。 如果没有时间限制的Access Key泄露至外部，可能会产生安全威胁，因此可以在授予临时权限时使用。
• 角色：通过以策略构成的临时资格证明，可对账户及服务器等资源本身赋予权限。 当前提供的角色只能对服务器资源进行分配，今后将扩大使用范围。

Q. 子账户可以赋予哪些权限？

通过服务Sub创建Account的发球有如下账户的授权。

• 与 NAVER Cloud Platform 主帐号相同的访问权限( 可访问门户网站我的主页、 控制台内的所有 服务)

Sub Account服务提供的System Managed政策中，赋予NCP_ADMINISTRATOR政策，即可访问与主账号相同的NAVER Cloud Platform内门户网站、控制台。

• NAVER Cloud Platform 控制台内所有服务访问权限

Sub Account服务提供的System Managed政策中，赋予NCP_INFRA_MANAGER政策，即可与主账号相同访问控制台内的所有商品/服务。

• NAVER Cloud Platform 控制台 各服务的访问权限

Sub Account服务提供的System Managed政策中，赋予NCP_服务名_MANAGER/VIEWER政策，即可访问相应商品/服务。

• NAVER Cloud Platform 门户网站我的主页"使用管理"菜单访问权限

赋予Sub Account服务提供的System Managed政策中的NCP_FINANCE_MANAGER政策，即可访问门户网站我的主页上"服务使用记录,服务使用现状,促销明细,账单走势"菜单。

创建子账户

步骤1. 访问控制台和创建子账户

访问控制台，创建子账户。

（在My Products下级不显示子账户时，可点击Services > Management & Governance> Sub Account的☆添加到My Products。）

1. 由于当前不持有子账户，所以与子账户服务信息一起显示以下语句。

• “没有已注册的子账户。 点击子账户注册按钮创建新的子账户。”
  如要创建子账户，点击 [创建子账户] 按钮。

2. 输入子账户的登录ID、用户名和密码，选择访问类型、双因素认证设置方法后，点击 [创建] 按钮。

• 访问类型
  • Console Access：允许子账户的控制台访问时勾选。
    • 可以通过频段限制子账户的管理控制台访问IP。
  • API Gateway Access：允许访问API Gateway时勾选。 选择该选项时，可以在创建子账户后在详细页面管理Access Key，并利用该密钥使用API Gateway。 另外，子账户可以在登录后通过门户 > 我的页面 > 认证密钥管理菜单管理自己的Access Key。
• 双因素认证设置
  • 可以设置为子账户必须获得双因素认证才能使用。
  • 双因素认证所需信息在子账户首次登录时首次设置，可在门户的我的页面 > 账户管理 > 双因素认证管理进行修改。
• 需要重置密码
  • 勾选需要重置密码项目时，子账户登录时会转到密码设置页面，以变更密码。
  • 如果在密码设置页面没有变更密码，以后每次登录时都会进入密码设置页面。

步骤2. 添加策略

在创建子账户后显示的子账户详细页面的 [策略] 标签添加策略。

• 可以使用“添加所有权限”授予可以执行任何操作的策略。

① 点击策略标签的 [添加] 按钮。

② 在画面上显示的策略列表中选择要添加的策略（可以多选）。

③ 最后点击 [添加] 按钮在子账户中添加策略。

• 策略：定义用子账户登录的用户可以操作的权限

步骤3. 仪表盘

设置访问页面。

在仪表盘中可以确认访问页面设置、创建的子账户数量、群组数量和策略数量。

1. 子账号登录页面的访问键。

2. 设置的访问页面可以修改、删除和复制地址。

3. 使用您的子帐户访问的 URL。子账户只能通过该URL进行访问。

4. 您可以为子账户设置一个未使用的会话过期时间。

5. 您可以选择 10 分钟、30 分钟、1 小时或 3 小时的未使用会话到期时间, 如果子账户登录后没有任何活动，处于未使用状态，将在以下指定的时间过后自动退出登录。

6. 可设置子账户的密码强制到期日。

7. 到期日可在60、90、120、180天中选择，如果子账户超过已设置的到期日后仍使用旧密码，则在变更密码前无法使用控制台。

8. 可以确认账户下的子账户、群组和策略的数量。

子账户管理

子账户菜单

可以访问子账户菜单创建新的子账户，或确认现有子账户列表，一次性删除、暂停/解除暂停多个子账户。

• 被暂停的子账户不能使用NAVER Cloud Platform服务。
• 选择暂停的子账户时，提供可以解除暂停的功能。
• 暂停的子账户在 [状态] 列显示为 [停止]。

子账户详情

点击列表中的子账户登录ID，可确认子账户的详细内容。

1. 可以对当前子账户进行 [修改]、[删除]、[暂停/解除暂停]。

• 利用修改功能可以修改除登录ID以外的其它子账户信息。
• 被暂停的子账户不能使用NAVER Cloud Platform服务。
• 选择暂停的子账户时，提供可以解除暂停的功能。
• 暂停的子账户在 [状态] 列显示为 [停止]。

2. 可以通过频段限制子账户的管理控制台访问IP。

2-1. 可访问控制台的IP频段

• 允许所有地址访问：没有IP限制，皆可访问。
• 只允许在指定IP频段访问：最多可注册30个单一IP或包含子网的IP频段。

3. 您可以限制子账户的开放API访问来源。

3-1. API 可访问源

• 允许所有地址访问：无需单独的 IP / VPCServer 限制即可访问。
• 仅允许指定源访问：
  • IP: 您可以注册为单个 IP 或包含子网的 IP 频段。
  • VPCServer: 您可以注册您正在使用的 VPC 服务器。

4. 登录密码不会显示，需要时可点击 [重置密码] 变更为新密码。

5. 显示密码有效期信息及Access Key有效期信息

• 密码有效期：显示不变更子账户的密码可继续使用的总累计日期信息。 这有助于定期变更密码。
• Access Key有效期：已设置API Gateway Access的子账户，可在详细页面管理Access Key。 显示此时创建的Access Key的有效期信息。 这有助于定期更换Key。

6. 在详细页面下方，提供可以确认子账户的策略、群组和Access Key的选项卡。

• [策略]: 可以为子账户赋予策略，或撤消策略。

• [群组]: 可将子账户添加为群组成员，或从群组中删除成员。

• [Access Key]: 仅显示在访问类型中包含API Gateway Access的子账户，可以添加/删除，或使用/禁用使用API Gateway所需的Access Key ID。

  

群组管理

可以创建/修改/删除群组，或者向组添加/删除子账户、策略。

创建群组

1. 点击 [创建群组] 按钮创建群组。

2. 输入群组名后，点击 [创建] 按钮。

修改群组

1. 当鼠标指针位于群组名旁边的图标上时显示的上下文菜单中选择修改。

2. 输入要变更的群组名后，点击 [修改] 按钮。

3. 在右侧的子账户 策略标签可以向群组添加/删除子账户或策略。

删除群组

1. 当鼠标指针位于群组名旁边的图标上时显示的上下文菜单中选择删除按钮。

2. 确认要删除的群组名后，点击 [删除] 按钮。

• 即使删除了群组，群组中包含的子账户、策略不会被删除。
• 若是群组中已添加的子账户，在子账户的详细 > 群组标签列表中删除的群组将被清除。

策略管理

• 在Sub Account > Policies可以确认当前账户持有的策略并可进行创建、修改和删除操作。

• 该策略定义用子账户登录的用户可以操作的权限。 可以以子账户或群组为单位赋予策略，根据赋予的策略，门户/控制台中的权限也有所不同。

• 策略共有System managed、User created两种类型。

  • System managed：为了便于用户，提前定义几项服务的Change/View权限后提供的策略
  • User created：账户用户随机创建的策略

创建策略

1. 在Sub Account > Policies菜单点击 [创建策略]，即可创建策略。

2. 在策略信息设置输入要创建的策略的名称和描述。

3. 在应用对象设置选择要控制权限的Product和Product的操作，并添加应用对象。

• 操作：可以对Product中提供的操作控制权限。 操作的单位因服务而异，各服务提供的权限管理单位的操作内容可在服务的用户指南中确认。
  • View：提供只能使用该服务的查询相关功能的权限时选择。
  • Change：提供可以使用创建、变更、删除等功能的权限时选择。

4. 可以确认在③中添加的应用对象列表。 选择特定Product时，为了通过控制台访问相应Product，在控制台中自动添加相应Product的访问权限（ProductAccess Action）。

5. 点击 [创建] 按钮。

策略详情

• 在策略列表点击策略名称，可以确认策略详细内容。

修改策略

• 在策略详情点击 [修改] 按钮修改策略。

• 可以修改与创建策略时相同的信息。

删除策略

1. 在策略详情点击 [删除] 按钮，可以删除策略。

2. 点击弹窗下方的 [删除] 按钮，完成策略删除。

角色管理

• 在Sub Account > Roles 您可以创建、修改和删除角色。

• 角色定义由策略构成的临时资格证明。 一个角色可由多个策略构成，可分配给账户中持有的Server并赋予临时资格。

• 角色中存在一个Server类型。

  • Server：可委托给Server的角色

创建角色

1. 可以在Sub Account > Roles菜单点击 [创建角色]，即可创建角色。

2. 在 [角色信息设置] 输入要创建的角色名称、类型及描述。

3. 点击 [创建] 按钮。

角色详情

点击列表的角色名称，即可确认角色的详细内容。

1. 可 [修改]、[删除] 当前角色。

• 在修改功能可修改除了类型以外的角色信息。

2. 在详细页面下方，提供可以确认角色的策略、持有资源的选项卡。

• 策略：可以为角色赋予策略，或撤消策略。

• 角色持有资源：可确认当前持有角色的资源，也可进行添加或删除。

  • 每个Server资源只能赋予一个角色。

  

  

修改角色

• 在角色详情点击 [修改] 按钮修改角色。

• 除了类型以外，可以修改与创建角色时相同的信息。

删除角色

1. 在角色详情点击 [删除] 按钮，即可删除角色。

2. 点击弹窗下方的 [删除] 按钮，完成角色删除。

使用子账户

登录

登录Sub Account仪表盘中设置的访问页面。

1. 登录设置的访问页面。 访问页面设置参考步骤3. 仪表盘。

2. 输入要登录的子账户登录ID和密码进行登录。 （未赋予策略的子账户无法登录。）

3. 丢失子账户名称或密码时，请联系账户管理员。

• 密码输入错误超过5次时，无法用该子账户登录。 请向账户管理员请求重置密码，用新密码登录。

设置双因素认证信息

• 可在门户的我的页面 > 账户管理 > 双因素认证管理设置双因素认证信息。