本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解访问级别
<a name="manage-users-by-farm"></a>

无论您的身份来源如何，您都可以通过 Deadline Cloud 控制台向服务器场、队列和队列级别的用户和群组分配权限。您可以授予不同级别的访问权限。每个后续级别都包含前一个级别的权限。以下列表描述了从最低级别到最高级别的四个访问级别：
+ **Viewer** — 查看服务器场、队列、队列中的资源以及他们有权访问的作业的权限。查看者无法提交或更改作业。
+ **贡献者**-与查看者相同，但有权向队列或群提交作业。
+ **经理** — 与贡献者相同，但有权编辑他们有权访问的队列中的作业，并授予他们有权访问的资源的权限。
+ **所有者**-与经理相同，但可以查看和创建预算并查看使用情况。

有关自定义这些访问级别的信息，请参阅 De *adline Cloud 开发者指南*中的[监控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。

**Topics**
+ [访问级别权限矩阵](access-level-permissions-matrix.md)
+ [成员资格继承](membership-inheritance.md)
+ [为用户和群组分配权限](assign-permissions-procedure.md)

# 访问级别权限矩阵
<a name="access-level-permissions-matrix"></a>

下表显示了使用默认 AWS 托管策略时，服务器场、队列和队列在每个访问级别上可用的特定权限。管理用户访问权限目前只能通过 Deadline Cloud 控制台进行，在 Deadline Cloud 监视器中不可用。有关自定义这些访问级别的信息，请参阅 De *adline Cloud 开发者指南*中的[监控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。


**按访问级别划分的服务器场权限**  

| 权限 | 查看者 | 贡献者 | Manager | 所有者 | 
| --- | --- | --- | --- | --- | 
| 查看农场详情 | 支持 | 是 | 是 | 是 | 
| 查看队列和舰队 | 支持 | 是 | 是 | 是 | 
| 提交作业 | 否 | 是 | 是 | 是 | 
| 管理用户访问权限 | 否 | 否 | 是 | 是 | 
| 查看和创建预算 | 否 | 否 | 否 | 是 | 
| 查看使用情况数据 | 否 | 否 | 否 | 是 | 


**按访问级别划分的队列权限**  

| 权限 | 查看者 | 贡献者 | Manager | 所有者 | 
| --- | --- | --- | --- | --- | 
| 查看队列详细信息 | 支持 | 是 | 是 | 是 | 
| 查看队列中的作业 | 支持 | 是 | 是 | 是 | 
| 将作业提交到队列 | 否 | 是 | 是 | 是 | 
| 编辑和取消作业 | 否 | 否 | 是 | 是 | 
| 管理队列用户访问权限 | 否 | 否 | 是 | 是 | 
| 查看队列预算分配 | 否 | 否 | 否 | 是 | 


**按访问级别划分的舰队权限**  

| 权限 | 查看者 | 贡献者 | Manager | 所有者 | 
| --- | --- | --- | --- | --- | 
| 查看实例集详细信息 | 支持 | 是 | 是 | 是 | 
| 查看车队中的员工 | 支持 | 是 | 是 | 是 | 
| 管理舰队用户访问权限 | 否 | 否 | 是 | 是 | 
| 查看车队成本数据 | 否 | 否 | 否 | 是 | 

# 成员资格继承
<a name="membership-inheritance"></a>

Deadline Cloud 使用分层成员资格模型，可以在服务器场、队列或队列级别分配权限。了解成员资格继承的工作原理有助于您有效地配置访问控制。

## 农场级别的会员资格
<a name="farm-level-membership"></a>

当您在服务器场级别分配用户或组成员资格时，该成员资格适用于服务器场内的所有队列和队列。服务器场级别的成员资格提供了广泛的访问权限，对于需要跨多个队列或队列工作的用户非常有用。

例如，如果您在场级别将用户指定为参与者，则该用户可以向服务器场中的任何队列提交作业。

## 队列和舰队级别的成员资格
<a name="queue-fleet-level-membership"></a>

您还可以在队列或队列级别分配成员资格，以实现更精细的访问控制。队列级别和队列级别的成员资格仅适用于该特定资源。

例如，如果您将用户指定为特定队列的管理员，则该用户只能编辑该队列的作业和管理访问权限，而不能管理场中其他队列的访问权限。

用户只能访问队列或队列，而无需服务器场级别的成员资格。在这种情况下，用户无法在服务器场列表中看到农场，但可以向其提交作业，并且只能查看他们有权访问的队列或队列。

## 有效的权限
<a name="effective-permissions"></a>

当用户拥有多个级别的成员资格时，Deadline Cloud 将使用最高的访问级别。例如：
+ 在场级别具有查看者访问权限和对特定队列具有管理员访问权限的用户对该队列具有管理员权限，对所有其他队列具有查看者权限。
+ 在服务器场级别拥有参与者访问权限和对特定队列拥有所有者访问权限的用户对该舰队拥有所有者权限，在其他地方拥有贡献者权限。

**注意**  
在服务器场、队列或队列级别没有任何成员资格的用户即使通过 IAM Identity Center 进行了身份验证，也无法访问这些资源。

有关为用户和群组分配成员资格的说明，请参阅[为用户和群组分配权限](assign-permissions-procedure.md)。

# 为用户和群组分配权限
<a name="assign-permissions-procedure"></a>

使用 Deadline Cloud 控制台为用户和群组分配服务器场、队列或队列级别的访问级别。

**注意**  
访问权限的更改最长可能需要 10 分钟才能反映在系统中。

**导航到访问管理**

1. 登录 AWS 管理控制台 并打开 Deadlin [e Cloud 控制台](https://console.aws.amazon.com/deadlinecloud/home)。

1. 在左侧导航窗格中，选择 “**农场和其他资源**”。

1. 选择要管理的农场。选择服务器场名称以打开详细信息页面。您可以使用搜索栏搜索农场。

1. （可选）要管理队列或队列而不是服务器场，请选择**队列或**队**列**选项卡，然后选择要管理的队列或队列。

1. 选择 “**访问管理**” 选项卡。

根据要采取的操作，选择 “**群组**” 选项卡或 “**用户**” 选项卡。

------
#### [ Groups ]

**添加组**

1. 选择 “群**组**” 开关。

1. 选择**添加组**。

1. 从下拉列表中选择要添加的群组。

1. 对于群组访问级别，请选择以下选项之一：
   + **查看者**
   + **贡献者**
   + **Manager**
   + **所有者**

1. 选择**添加**。

**移除组**

1. 选择要删除的群组。

1. 选择**移除 **。

1. 在确认对话框中，选择**移除群组**。

------
#### [ Users ]

**添加用户**

1. 要添加用户，请选择**添加用户**。

1. 从下拉列表中选择要添加的用户。

1. 对于用户访问级别，请选择以下选项之一：
   + **查看者**
   + **贡献者**
   + **Manager**
   + **所有者**

1. 选择**添加**。

**删除用户**

1. 选择要删除的用户。

1. 选择**移除 **。

1. 在确认对话框中，选择**移除用户**。

------