电话:400-650-6396  15652658866

  当前位置:   首页 > 资源中心 > 国产信创 > 【用户权限】多租户资源隔离与分权管理

【用户权限】多租户资源隔离与分权管理

  作者:监控易        来源:美信时代 发布时间:2026-07-07

本文速览 权限混乱引发的越权事故 权限管理的三大痛点| 四层权限模型| 某省级政务云的多租户分权管理| 实施要点与配置建议

核心要点摘要:在大型组织或云服务环境中,不同部门、不同用户需要看到不同的监控数据——财务部只看财务系统,运维组只看基础设施,外包人员只能看到自己负责的设备。监控易智能一体化运维平台提供精细化的用户权限管理,支持基于用户组、角色、资源组的多层权限隔离,实现谁看谁的数据、谁管谁的设备

1.png

适用读者:政府、金融、军工、能源、交通、医疗、教育等行业运维管理人员,云服务商,信息化部门负责人,以及需通过等保2.0或密评的合规负责人。

一、权限混乱引发的越权事故

某省级政务云平台同时服务30多个委办局。运维团队原本只有一个管理员账号,所有人都能看到所有委办局的服务器状态。一次,某运维人员误操作,将其他委办局的服务器重启,导致业务中断数小时。事后调查发现,该人员根本没有操作那些服务器的权限,但由于系统缺乏细粒度权限控制,事故无法避免。

如果有一套完善的权限体系,将不同委办局的资源隔离,每个人只能看到和操作自己管辖的设备,这样的事故完全可以避免。

二、权限管理的三大痛点

痛点一:权限粗放,无法按需分配

传统监控系统只有管理员只读用户两种角色。业务部门想查看自己系统的运行状态,只能向管理员申请截图。

痛点二:资源隔离缺失,越权风险高

所有用户看到同一套设备列表。运维人员可能误操作不属于自己管辖的设备。

痛点三:审计困难,责任无法追溯

多人共用同一个账号,操作日志无法区分具体责任人。 

2.png

三、监控易的多层权限模型

监控易采用用户用户组角色资源的四层权限模型,实现精细化的访问控制。

1. 用户与用户组

· 用户:系统的实际操作者,每个用户有独立的登录账号和密码

· 用户组:将具有相同权限需求的用户归类,批量授权。用户组支持多级嵌套

2. 角色(操作权限)

角色定义用户能做什么”——增、删、改、查、执行等操作权限。监控易内置了常用角色:

· 管理员:全部权限

· 运维工程师:设备管理、告警处理、报表查看,无系统设置权限

· 只读用户:仅查看,不能修改任何配置

· 审计员:仅查看操作日志,无其他权限

用户可自定义角色,勾选需要授予的操作权限。

3. 资源组(数据权限)

资源组定义用户能看到哪些数据”——设备、机房、业务、网络拓扑等。管理员可以创建资源组,并将设备加入资源组。然后授权用户组或用户只能查看/操作特定资源组的数据。

4. 权限继承与隔离

· 用户组内的用户自动拥有该组的资源权限和操作权限

· 子用户组继承父组的资源权限

· 不同资源组之间的数据完全隔离

四、某省级政务云的多租户分权管理

背景:该政务云承载30多个委办局的业务系统,管理服务器500余台。

面临的挑战

· 各委办局希望自助查看本部门业务系统的运行状态

· 需要为第三方运维公司开放权限,但只能让他们操作指定的测试服务器

· 等保2.0要求权限分离

解决方案

· 为每个委办局创建独立的资源组,将本局业务相关的服务器、数据库加入资源组

· 为各委办局创建只读用户,仅授权查看本局资源组

· 创建第三方运维角色,仅授予设备查看脚本执行权限

· 创建审计员角色,仅授予操作日志查询权限

· 所有用户启用独立账号,禁止共享

实施效果

· 各委办局通过自助账号查看本局业务系统健康度,信息中心咨询工单减少40%

· 第三方运维公司在授权范围内工作,误操作风险可控

· 等保2.0测评时,权限分离设计和操作日志一次性通过

评价以前所有运维人员共用一个管理员账号,出了问题不知道是谁干的。现在每个人独立账号、独立权限,责任到人,安全多了。

3.png

五、实施要点与配置建议

1. 权限分离最佳实践(满足等保2.0

角色

建议权限

说明

系统管理员

设备管理、用户管理、系统设置

负责系统配置,不处理日常告警

运维操作员

设备查看、告警确认、工单处理

负责日常运维,不能修改系统设置

审计管理员

仅查看操作日志

独立于前两者,监督操作行为

根据GB/T 22239-2019的相关要求,应实现管理用户的权限分离”-。建议将上述三种角色分配给不同的人员,实现权责分离。

2. 资源组划分建议

· 按业务系统划分:如“HIS系统组”“OA系统组

· 按地理位置划分:如北京数据中心组”“上海数据中心组

· 按安全等级划分:如核心生产组”“测试环境组

· 按部门划分:如财务部设备组”“人事部设备组

3. 用户组创建流程

1. 创建资源组:将设备按业务/部门/位置分组

2. 创建角色:定义操作权限

3. 创建用户组:关联资源组和角色

4. 创建用户:将用户加入对应用户组

4. 账号安全策略

· 开启密码复杂度校验

· 设置登录失败锁定(默认5次失败锁定半小时)

· 开启验证码登录

· 定期通知用户修改密码

4.png

六、结语

权限管理不是限制,而是赋能”——让正确的人看到正确的数据,做正确的事。监控易智能一体化运维平台的精细权限体系,支持从资源隔离、操作授权到审计追溯的全链路管控,满足大型组织、多云环境、合规审计的严苛要求。

核心要点总结

1. 监控易采用用户用户组角色资源四层权限模型

2. 根据GB/T 22239-2019要求,应实现管理用户的权限分离”-

3. 支持按业务系统、地理位置、安全等级、部门等多维度划分资源组

4. 一个用户可以属于多个用户组,拥有权限并集

5. 一个设备可以属于多个资源组,支持矩阵式管理

6. 建议建立账号定期审计机制,及时禁用离职员工账号

常见问题

Q1:一个用户可以属于多个用户组吗?

A:支持。一个用户可以加入多个用户组,该用户将拥有所有所属用户组的资源权限和操作权限的并集。

Q2:资源组和设备是什么关系?

A:一个设备可以属于多个资源组。例如,一台核心数据库服务器可以同时属于核心业务组”“生产环境组”“DBA负责组。用户只要拥有任意一个资源组的权限,就能看到该设备。

Q3:如何防止用户创建后忘记禁用离职员工账号?

A:建议建立账号定期审计机制。监控易支持在用户管理中查看用户最后登录时间、账号状态。可每月导出用户列表,由主管确认账号有效性。

适用场景:政务云多租户等保2.0权限分离、大型集团企业按业务部门资源隔离、金融机构操作员/审计员角色分离

#用户权限 #多租户 #分权管理 #等保合规 #监控易智能一体化运维平台

内容责任声明

来源:监控易技术团队原创(北京美信时代科技有限公司)

作者:技术部 刘美玲

编辑:市场部 扬扬

初审:技术部 刘美玲

数据核实:技术部 刘美玲

终审:解决方案部 Dino

本文内容基于公开信创政策及实际项目经验编写,数据来源可追溯。未经授权不得转载。

 


上一篇: 暂无

下一篇: 【移动运维】监控易App实时告警与远程处置

监控易期待与各企业展开广泛合作!

电话:400-650-6396

手机:15652658866

QQ:3592185434

邮箱:contact@jiankongyi.com

在线客服系统