本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在截止日期云中管理用户
AWS Deadline Cloud 用于 AWS IAM Identity Center 管理用户和群组。IAM Identity Center 是一项基于云的单点登录服务,可以与您的企业单点登录 (SSO) 提供商集成。通过集成,用户可以使用其公司帐户登录。
Deadline Cloud 默认启用 IAM 身份中心,并且需要设置和使用 Deadline Cloud。您的组织所有者负责管理有权访问您 AWS Organizations 的 Deadline Cloud 监控器的用户和群组。有关更多信息,请参阅[什么是 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
如何管理用户取决于您的 IAM Identity Center 身份源配置。身份源定义了 IAM Identity Center 从何处获取用户信息。
**Topics**
+ [了解您的身份来源](understanding-identity-source.md)
+ [使用创建和管理用户 IAM Identity Center 目录](manage-monitor-users_users.md)
+ [使用外部身份提供商管理用户](manage-users-external-idp.md)
+ [了解访问级别](manage-users-by-farm.md)
# 了解您的身份来源
IAM Identity Center 使用身份源来定义管理用户的位置。有两种类型的身份来源:
IAM Identity Center 目录
这是默认身份源。用户直接在 IAM 身份中心内创建和管理。您可以通过 Deadline Cloud 控制台或 IAM 身份中心控制台创建用户。用户会收到加入您的组织的电子邮件邀请,密码在 IAM Identity Center 中进行管理。
外部身份提供商 (IdP)
用户通过外部系统(例如Okta、Microsoft Entra ID、或其他 SAML 2.0 身份提供商)进行联合。必须先在外部系统中创建用户。配置外部 IdP 后,Deadline Cloud 控制台无法创建用户,但您可以为现有用户分配权限。密码由外部 IdP 管理。
要检查您的身份源配置或对其进行更改,请参阅 IAM Identity Center 用户指南中的[管理您的身份源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)。
# 使用创建和管理用户 IAM Identity Center 目录
如果您的身份源设置为 IAM Identity Center 目录,则可以直接通过 Deadline Cloud 控制台创建和管理用户和群组。在控制台中创建的用户将收到来自 IAM 身份中心的电子邮件邀请。接受邀请后,用户可以访问 Deadline Cloud 监视器。
**注意**
如果您的 IAM 身份中心已连接到外部身份提供商,则无法通过 Deadline Cloud 控制台创建用户。有关使用外部 IdP 管理用户的信息,请参阅[使用外部身份提供商管理用户](manage-users-external-idp.md)。
1. 登录 AWS 管理控制台 并打开 Deadlin [e Cloud 控制台](https://console.aws.amazon.com/deadlinecloud/home)。在主页的 “**入门” 部分,选择 “设置 De** **adline Cloud**” 或 “**前往控制面板”**。
1. 在左侧导航窗格中,选择**用户管理**。默认情况下,“**群组**” 选项卡处于选中状态。
根据要采取的操作,选择 “**群组**” 选项卡或 “**用户**” 选项卡。
------
#### [ Groups ]
**创建组**
1. 选择**创建群组**。
1. 输入群组名称。该名称在您的 IAM Identity Center 组织中的群组中必须是唯一的。
**移除群组**
1. 选择要删除的群组。
1. 选择**移除 **。
1. 在确认对话框中,选择**移除群组**。
**注意**
您正在从 IAM 身份中心移除该群组。群组成员无法再登录 Deadline Cloud 或访问农场资源。
------
#### [ Users ]
**添加用户**
1. 选择**用户**选项卡。
1. 选择**添加用户**。
1. 输入新用户的姓名、电子邮件地址和用户名。
1. (可选)选择一个或多个 IAM 身份中心群组来添加新用户。
1. 选择 “**发送邀请**”,向新用户发送一封包含加入您的 IAM Identity Center 组织的说明的电子邮件。
**删除用户**
1. 选择要删除的用户。
1. 选择**移除 **。
1. 在确认对话框中,选择**移除用户**。
**注意**
您正在从 IAM 身份中心移除该用户。用户无法再登录 Deadline Cloud 监控器或访问服务器场资源。
------
# 使用外部身份提供商管理用户
如果您的 IAM Identity Center 已连接到外部身份提供商 (IdP)Microsoft Entra ID,例如Okta或,则必须在该外部系统中创建和管理用户。配置外部 IdP 后,Deadline Cloud 控制台无法创建新用户。
在您的外部 IdP 中创建用户并同步到 IAM Identity Center 后,您可以为他们分配对 Deadline Cloud 资源的权限。[了解访问级别](manage-users-by-farm.md)有关在服务器场、队列和队列级别分配权限的信息,请参阅。
有关管理外部身份提供商配置的信息,请参阅 IAM Identity Center 用户指南中的[管理您的身份源](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)。
# 了解访问级别
无论您的身份来源如何,您都可以通过 Deadline Cloud 控制台向服务器场、队列和队列级别的用户和群组分配权限。您可以授予不同级别的访问权限。每个后续级别都包含前一个级别的权限。以下列表描述了从最低级别到最高级别的四个访问级别:
+ **Viewer** — 查看服务器场、队列、队列中的资源以及他们有权访问的作业的权限。查看者无法提交或更改作业。
+ **贡献者**-与查看者相同,但有权向队列或群提交作业。
+ **经理** — 与贡献者相同,但有权编辑他们有权访问的队列中的作业,并授予他们有权访问的资源的权限。
+ **所有者**-与经理相同,但可以查看和创建预算并查看使用情况。
有关自定义这些访问级别的信息,请参阅 De *adline Cloud 开发者指南*中的[监控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。
**Topics**
+ [访问级别权限矩阵](access-level-permissions-matrix.md)
+ [成员资格继承](membership-inheritance.md)
+ [为用户和群组分配权限](assign-permissions-procedure.md)
# 访问级别权限矩阵
下表显示了使用默认 AWS 托管策略时,服务器场、队列和队列在每个访问级别上可用的特定权限。管理用户访问权限目前只能通过 Deadline Cloud 控制台进行,在 Deadline Cloud 监视器中不可用。有关自定义这些访问级别的信息,请参阅 De *adline Cloud 开发者指南*中的[监控角色](https://docs.aws.amazon.com/deadline-cloud/latest/developerguide/security-iam-service-roles.html#monitor-role)。
**按访问级别划分的服务器场权限**
| 权限 | 查看者 | 贡献者 | Manager | 所有者 |
| --- | --- | --- | --- | --- |
| 查看农场详情 | 支持 | 是 | 是 | 是 |
| 查看队列和舰队 | 支持 | 是 | 是 | 是 |
| 提交作业 | 否 | 是 | 是 | 是 |
| 管理用户访问权限 | 否 | 否 | 是 | 是 |
| 查看和创建预算 | 否 | 否 | 否 | 是 |
| 查看使用情况数据 | 否 | 否 | 否 | 是 |
**按访问级别划分的队列权限**
| 权限 | 查看者 | 贡献者 | Manager | 所有者 |
| --- | --- | --- | --- | --- |
| 查看队列详细信息 | 支持 | 是 | 是 | 是 |
| 查看队列中的作业 | 支持 | 是 | 是 | 是 |
| 将作业提交到队列 | 否 | 是 | 是 | 是 |
| 编辑和取消作业 | 否 | 否 | 是 | 是 |
| 管理队列用户访问权限 | 否 | 否 | 是 | 是 |
| 查看队列预算分配 | 否 | 否 | 否 | 是 |
**按访问级别划分的舰队权限**
| 权限 | 查看者 | 贡献者 | Manager | 所有者 |
| --- | --- | --- | --- | --- |
| 查看实例集详细信息 | 支持 | 是 | 是 | 是 |
| 查看车队中的员工 | 支持 | 是 | 是 | 是 |
| 管理舰队用户访问权限 | 否 | 否 | 是 | 是 |
| 查看车队成本数据 | 否 | 否 | 否 | 是 |
# 成员资格继承
Deadline Cloud 使用分层成员资格模型,可以在服务器场、队列或队列级别分配权限。了解成员资格继承的工作原理有助于您有效地配置访问控制。
## 农场级别的会员资格
当您在服务器场级别分配用户或组成员资格时,该成员资格适用于服务器场内的所有队列和队列。服务器场级别的成员资格提供了广泛的访问权限,对于需要跨多个队列或队列工作的用户非常有用。
例如,如果您在场级别将用户指定为参与者,则该用户可以向服务器场中的任何队列提交作业。
## 队列和舰队级别的成员资格
您还可以在队列或队列级别分配成员资格,以实现更精细的访问控制。队列级别和队列级别的成员资格仅适用于该特定资源。
例如,如果您将用户指定为特定队列的管理员,则该用户只能编辑该队列的作业和管理访问权限,而不能管理场中其他队列的访问权限。
用户只能访问队列或队列,而无需服务器场级别的成员资格。在这种情况下,用户无法在服务器场列表中看到农场,但可以向其提交作业,并且只能查看他们有权访问的队列或队列。
## 有效的权限
当用户拥有多个级别的成员资格时,Deadline Cloud 将使用最高的访问级别。例如:
+ 在场级别具有查看者访问权限和对特定队列具有管理员访问权限的用户对该队列具有管理员权限,对所有其他队列具有查看者权限。
+ 在服务器场级别拥有参与者访问权限和对特定队列拥有所有者访问权限的用户对该舰队拥有所有者权限,在其他地方拥有贡献者权限。
**注意**
在服务器场、队列或队列级别没有任何成员资格的用户即使通过 IAM Identity Center 进行了身份验证,也无法访问这些资源。
有关为用户和群组分配成员资格的说明,请参阅[为用户和群组分配权限](assign-permissions-procedure.md)。
# 为用户和群组分配权限
使用 Deadline Cloud 控制台为用户和群组分配服务器场、队列或队列级别的访问级别。
**注意**
访问权限的更改最长可能需要 10 分钟才能反映在系统中。
**导航到访问管理**
1. 登录 AWS 管理控制台 并打开 Deadlin [e Cloud 控制台](https://console.aws.amazon.com/deadlinecloud/home)。
1. 在左侧导航窗格中,选择 “**农场和其他资源**”。
1. 选择要管理的农场。选择服务器场名称以打开详细信息页面。您可以使用搜索栏搜索农场。
1. (可选)要管理队列或队列而不是服务器场,请选择**队列或**队**列**选项卡,然后选择要管理的队列或队列。
1. 选择 “**访问管理**” 选项卡。
根据要采取的操作,选择 “**群组**” 选项卡或 “**用户**” 选项卡。
------
#### [ Groups ]
**添加组**
1. 选择 “群**组**” 开关。
1. 选择**添加组**。
1. 从下拉列表中选择要添加的群组。
1. 对于群组访问级别,请选择以下选项之一:
+ **查看者**
+ **贡献者**
+ **Manager**
+ **所有者**
1. 选择**添加**。
**移除组**
1. 选择要删除的群组。
1. 选择**移除 **。
1. 在确认对话框中,选择**移除群组**。
------
#### [ Users ]
**添加用户**
1. 要添加用户,请选择**添加用户**。
1. 从下拉列表中选择要添加的用户。
1. 对于用户访问级别,请选择以下选项之一:
+ **查看者**
+ **贡献者**
+ **Manager**
+ **所有者**
1. 选择**添加**。
**删除用户**
1. 选择要删除的用户。
1. 选择**移除 **。
1. 在确认对话框中,选择**移除用户**。
------