用户管理
用户管理功能是 EMQX Platform 的重要组成部分,旨在帮助企业用户实现多角色精细化管理和权限控制。通过该功能,用户可以创建和管理子账号,为其分配不同的角色和操作权限,从而满足复杂的团队协作需求,确保资源和数据的安全与高效利用。
本页将详细介绍用户管理的功能与操作,包括如何创建子账号、为子账号分配角色权限,以及管理子账号的常见操作指南,以帮助企业充分利用用户管理功能实现高效协作与安全管理。
子账号角色体系
子账号是由 EMQX Platform 主账号(或管理员账号)创建并激活的独立账户,具备明确的角色,例如管理员、项目管理员、项目使用者、财务和审计,每种角色均配备特定的权限范围,涵盖从项目和部署管理到财务和审计操作等多种场景。通过角色权限体系,可以将不同的功能模块和操作分配给子账号,方便企业按照职责分工管理项目与资源。
此外,平台还支持通过用户管理页面直观地对子账号进行项目授权、角色修改、密码管理以及停用或启用操作。
TIP
在当前的子账号角色体系设计中,默认项目不支持被分配到子账号中。
角色分类与权限
管理员:和主账号一样,拥有平台全部的权限,是子账号体系里的超级管理员。要注意的是,管理员虽然功能上和主账号等同,但仍属于子账号的体系。
项目管理员:有权限查看项目,并在授权的项目中修改或删除部署。项目管理员主要用于项目部署相关管理,比如一个组织或者部门需要单独拥有一个项目管理集群,需要指定一个人专门负责某些项目,与此同时,没有其他未授权的项目的权限。
项目使用者:拥有查看项目的权限和查看编辑部署的权限。项目使用者通常是业务人员,除了查看项目和查看部署权限,可以查看部署详情,使用数据集成和监控,进一步处理的相关业务需求。
财务:拥有财务管理权限,并可以查看项目和部署。财务人员可以掌握当前平台账号出账情况,并可以管理余额,发票等情况。
审计:可以查看项目和部署,并可以查看子用户和财务情况。审计角色针对了公司内部审计的需要,可以有平台各项功能的查看权限。
子账号登录
子账号登录地址与主账号不同,子账号仅能通过专用登录页面登录,输入账号分配的账户信息登录后,即可按照分配的权限访问对应的资源和项目。
以下为子账号专用的登录界面:
为了增强安全性,EMQX Platform 对子账号登录实现了“账号锁定”机制:
- 在 30 分钟内,如果尝试登录次数超过 5 次,无论成功或者失败,账号将被临时锁定。
- 账号锁定后需要等待 30 分钟才能继续尝试登录。
创建与激活子账号
子账号只能由主账号或管理员账号创建。
主账号邮箱目前不能注册同账号下的子账号。子账号邮箱可以注册成一个 EMQX Platform 主账号,也可以同时成为其他平台账号的子账号,通过不同的登录界面以登录不同的账号体系。
创建子账号
登录 EMQX 控制台,点击左侧菜单中的用户管理。
点击页面右上角的 + 新建用户。
在新建用户弹窗中填写信息:
- 账号:输入成员的邮箱地址。
- 密码:设置初始密码,后续可由成员或管理员修改。
- 角色:选择一个或多个角色(如项目管理员、项目用户)。
- 备注:可选,用于说明账户用途(如 “杭州集群管理员”)。
点击确认完成新建。
激活账号
子账号创建后,系统将向被邀请人发送激活邮件。
注意
邀请邮件中认证的有效时间为 1 小时,请在规定时间内完成登录验证。
激活步骤如下:
- 打开发送到邮箱的激活邮件,点击激活链接以验证邮箱;
- 使用邮件中提供的专属成员登录地址登录 EMQX Platform。
该邮件包含两个链接:
- 第一个链接用于首次激活与登录;
- 第二个链接为常规登录使用的子账号专用地址。
图中1链接是首次激活登录的链接,2链接是后续登录的链接,请不要弄混。
子账号登录后,即可以根据主账号设置的角色权限来管理平台,如需获取某个项目的权限,请联系主账号或管理员。
管理子账号
只有具备主账号(管理员) 或审计角色的用户可以访问用户管理页面并管理子账号。
- 主账号(管理员):拥有全部成员管理操作权限。
- 审计:仅具备查看成员列表的权限。
用户管理页面展示了所有子账号的列表,包括角色、状态、是否启用两步验证、操作等。
子账号只有在通过邮件验证后才会显示为已启用状态。
页面顶部显示了子账号登录地址,专门用于子账号的登录,可以在成员忘记登录地址时候进行发送。
分配项目
当您为子账号分配了项目管理员或项目使用者角色后,系统将提示您为其分配项目。如果未进行分配,该成员登录后将无法看到任何资源。
- 点击该子账户操作列中的项目授权。
- 在弹出的窗口中,选择要分配角色的项目,可以勾选一个或多个项目。
- 点击确认完成授权。
注意事项:
- 项目管理员和项目使用者角色需显式分配项目。
- 管理员、审计、财务人 属于全局角色,默认具备所有项目的访问权限,无需分配:
- 管理员:默认具有全部项目的完全访问权限。
- 审计与财务人:默认具有所有项目的只读权限,项目分配按钮将被禁用。
如果一个账户同时拥有项目管理员和项目使用者角色,则可分别为两个角色设置不同的项目权限。
更多操作
每个子账号在操作列中提供了其他管理功能,需由主账号或管理员执行:
- 修改密码:重设成员账户密码。
- 修改角色:变更或新增角色。
- 重发激活邮件:重新发送激活邮件给未验证的用户。
- 停用账号:控制账户访问权限,被停用的成员无法登录平台。停用后,该账户无法访问任何资源,也不会出现在项目成员列表中。
- 删除两步验证:删除已激活成员账户的两步验证设置。
- 删除账户:永久删除子账户,此操作不可恢复。
角色权限
用户管理提供了企业用户对于多角色的管理需求,对不同角色分配了不同操作权限和项目权限。企业内可以邀请不同的人员来对资源做精细化管理。
备注: ✓ (允许操作), ✗ (不允许操作), 只读(只能查看、不能操作)
| 功能 | 项目管理员 | 项目使用者 | 财务 | 审计 | |
|---|---|---|---|---|---|
| 部署 | 查看部署列表 | ✓ | ✓ | ✓ | ✓ |
| 查看部署详情(部署内所有功能) | ✓ | ✓ | ✓ | ✓ | |
| 创建部署 | ✓ | ✗ | ✗ | ✗ | |
| 移动部署至其他项目 | ✓ | ✗ | ✗ | ✗ | |
| 启动/停止部署 | ✓ | ✗ | ✗ | ✗ | |
| 删除部署 | ✓ | ✗ | ✗ | ✗ | |
| 修改部署名称 | ✓ | ✓ | ✗ | ✗ | |
| 修改部署规格 | ✓ | ✗ | ✗ | ✗ | |
| 修改 Serverless 部署消费限额 | ✓ | ✗ | ✗ | ✗ | |
| 更新 BYOC 部署许可证 | ✓ | ✗ | ✗ | ✗ | |
| 端口管理 | ✓ | ✓ | ✗ | ✗ | |
| TLS/SSL 配置 | ✓ | ✓ | 只读 | 只读 | |
| 管理部署 API Key | ✓ | ✓ | 只读 | 只读 | |
| VPC 对等连接/ PrivateLink 配置 | ✓ | ✓ | 只读 | 只读 | |
| 网关/内部接入点配置 | ✓ | 只读 | 只读 | 只读 | |
| 访问控制设置 | ✓ | ✓ | 只读 | 只读 | |
| 监控设置 | ✓ | ✓ | 只读 | 只读 | |
| 数据集成配置 | ✓ | ✓ | 只读 | 只读 | |
| 集群连接配置(专有版) | ✓ | ✓ | 只读 | 只读 | |
| 网关配置(专有版) | ✓ | ✓ | 只读 | 只读 | |
| 部署日志 | ✓ | ✓ | ✓ | ✓ | |
| 在线调试 | ✓ | ✓ | ✗ | ✗ | |
| 数据智能中心 (专有版) | 开通/删除服务 | ✓ | ✗ | ✗ | ✗ |
| Schema 管理 | ✓ | ✓ | 只读 | 只读 | |
| Schema 验证 | ✓ | ✓ | 只读 | 只读 | |
| 消息转换 | ✓ | ✓ | 只读 | 只读 | |
| 用户管理操作 | 查看用户列表 | ✗ | ✗ | ✗ | ✓ |
| 用户管理 | ✗ | ✗ | ✗ | ✗ | |
| 项目管理 | 查看项目列表 | ✓(仅授权项目) | ✓(仅授权项目) | ✓ | ✓ |
| 创建项目 | ✗ | ✗ | ✗ | ✗ | |
| 删除项目 | ✗ | ✗ | ✗ | ✗ | |
| 修改项目名称和描述 | ✗ | ✗ | ✗ | ✗ | |
| 项目关联子账号 | ✗ | ✗ | ✗ | ✗ | |
| 财务管理 | 查看财务概览 | ✗ | ✗ | ✓ | ✓ |
| 充值/绑定信用卡 | ✗ | ✗ | ✓ | ✗ | |
| 查看交易记录 | ✗ | ✗ | ✓ | ✓ | |
| 查看历史账单和小时账单 | ✗ | ✗ | ✓ | ✓ | |
| 查看代金券 | ✗ | ✗ | ✓ | ✓ | |
| 查看发票 | ✗ | ✗ | ✓ | ✓ | |
| 申请开票 | ✗ | ✗ | ✓ | ✗ | |
| 查看发票地址 | ✗ | ✗ | ✓ | ✓ | |
| 修改发票地址 | ✗ | ✗ | ✓ | ✗ | |
| 订单管理 | ✗ | ✗ | ✓ | 只读 | |
| 续费管理 | ✓ | ✗ | ✓ | 只读 | |
| 操作日志 | ✗ | ✗ | ✗ | ✓ | |
| 平台 API key | 查看平台 API key | ✗ | ✗ | ✗ | ✓ |
| 管理平台 API key | ✗ | ✗ | ✗ | ✗ | |
| 工单 | ✓ | ✓ | ✓ | ✓ | |