# 用户管理 用户管理功能是 EMQX Cloud 的重要组成部分,旨在帮助企业用户实现多角色精细化管理和权限控制。通过该功能,用户可以创建和管理子账号,为其分配不同的角色和操作权限,从而满足复杂的团队协作需求,确保资源和数据的安全与高效利用。 本页将详细介绍用户管理的功能与操作,包括如何创建子账号、为子账号分配角色权限,以及管理子账号的常见操作指南,以帮助企业充分利用用户管理功能实现高效协作与安全管理。 ## 子账号角色体系 子账号是由 EMQX Cloud 主账号(或管理员账号)创建并激活的独立账户,具备明确的角色,例如管理员、项目管理员、财务和审计,每种角色均配备特定的权限范围,涵盖从项目和部署管理到财务和审计操作等多种场景。通过角色权限体系,可以将不同的功能模块和操作分配给子账号,方便企业按照职责分工管理项目与资源。 此外,平台还支持通过用户管理页面直观地对子账号进行项目授权、角色修改、密码管理以及停用或启用操作。 ::: tip 在当前的子账号角色体系设计中,默认项目不支持被分配到子账号中。 ::: ## 角色分类与权限 **管理员**:和主账号一样,拥有平台全部的权限,是子账号体系里的超级管理员。要注意的是,管理员虽然功能上和主账号等同,但仍属于子账号的体系。 **项目管理员**:有权限查看项目,并在授权的项目中修改或删除部署。项目管理员主要用于项目部署相关管理,比如一个组织或者部门需要单独拥有一个项目管理集群,需要指定一个人专门负责某些项目,与此同时,没有其他未授权的项目的权限。 **项目使用者**:拥有查看项目的权限和查看编辑部署的权限。项目使用者通常是业务人员,除了查看项目和查看部署权限,可以查看部署详情,使用数据集成和监控,进一步处理的相关业务需求。 **项目查看者**:对分配给其的项目以及项目内的部署具有只读访问权限。 **财务**:拥有财务管理权限,并可以查看项目和部署。财务人员可以掌握当前平台账号出账情况,并可以管理余额,发票等情况。 **审计**:可以查看项目和部署,并可以查看子用户和财务情况。审计角色针对了公司内部审计的需要,可以有平台各项功能的查看权限。 ## 子账号登录 子账号登录地址与主账号不同,子账号仅能通过专用登录页面登录,输入账号分配的账户信息登录后,即可按照分配的权限访问对应的资源和项目。 以下为子账号专用的登录界面: ![default_project](./_assets/login_1.png) 为了增强安全性,EMQX Cloud 对子账号登录实现了“账号锁定”机制: - 在 30 分钟内,如果尝试登录次数超过 5 次,无论成功或者失败,账号将被临时锁定。 - 账号锁定后需要等待 30 分钟才能继续尝试登录。 ## 创建与激活子账号 子账号只能由主账号或管理员账号创建。 主账号邮箱目前不能注册同账号下的子账号。子账号邮箱可以注册成一个 EMQX Cloud 主账号,也可以同时成为其他平台账号的子账号,通过不同的登录界面以登录不同的账号体系。 ### 创建子账号 1. 登录 EMQX 控制台,点击左侧菜单中的**用户管理**。 2. 点击页面右上角的 **+ 新建用户**。 3. 在**新建用户**弹窗中填写信息: - **账号**:输入成员的邮箱地址。 - **密码**:设置初始密码,后续可由成员或管理员修改。 - **角色**:选择一个或多个角色(如项目管理员、项目用户)。 - **备注**:可选,用于说明账户用途(如 “杭州集群管理员”)。 4. 点击**确认**完成新建。 ![default_project](./_assets/create_subaccount.png) ### 激活账号 子账号创建后,系统将向被邀请人发送激活邮件。 ::: warning 注意 邀请邮件中认证的有效时间为 1 小时,请在规定时间内完成登录验证。 ::: 激活步骤如下: 1. 打开发送到邮箱的激活邮件,点击激活链接以验证邮箱; 2. 使用邮件中提供的专属成员登录地址登录 EMQX Cloud。 该邮件包含两个链接: - 第一个链接用于首次激活与登录; - 第二个链接为常规登录使用的子账号专用地址。 default_project > 图中1链接是首次激活登录的链接,2链接是后续登录的链接,请不要弄混。 子账号登录后,即可以根据主账号设置的角色权限来管理平台,如需获取某个项目的权限,请联系主账号或管理员。 ## 管理子账号 只有具备**主账号(管理员)** 或**审计**角色的用户可以访问**用户管理**页面并管理子账号。 - **主账号(管理员)**:拥有全部成员管理操作权限。 - **审计**:仅具备查看成员列表的权限。 用户管理页面展示了所有子账号的列表,包括角色、状态、是否启用两步验证、操作等。 子账号只有在通过邮件验证后才会显示为已启用状态。 页面顶部显示了子账号登录地址,专门用于子账号的登录,可以在成员忘记登录地址时候进行发送。 default_project ## 分配项目 当您为子账号分配了项目管理员或项目使用者角色后,系统将提示您为其分配项目。如果未进行分配,该成员登录后将无法看到任何资源。 1. 点击该子账户**操作**列中的**项目授权**。 2. 在弹出的窗口中,选择要分配角色的项目,可以勾选一个或多个项目。 3. 点击**确认**完成授权。 default_project ### 注意事项: - **项目管理员**、**项目使用者**和**项目查看者**角色需显式分配项目。 - **管理员、审计、财务人** 属于全局角色,默认具备所有项目的访问权限,无需分配: - **管理员**:默认具有全部项目的完全访问权限。 - **审计与财务人**:默认具有所有项目的只读权限,项目分配按钮将被禁用。 如果一个账户同时拥有**项目管理员**和**项目使用者**角色,则可分别为两个角色设置不同的项目权限。 ## 更多操作 每个子账号在操作列中提供了其他管理功能,需由主账号或管理员执行: - **修改密码**:重设成员账户密码。 - **修改角色**:变更或新增角色。 - **重发激活邮件**:重新发送激活邮件给未验证的用户。 - **停用账号**:控制账户访问权限,被停用的成员无法登录平台。停用后,该账户无法访问任何资源,也不会出现在项目成员列表中。 - **删除两步验证**:删除已激活成员账户的两步验证设置。 - **删除账户**:永久删除子账户,此操作不可恢复。 ## 角色权限 用户管理提供了企业用户对于多角色的管理需求,对不同角色分配了不同操作权限和项目权限。企业内可以邀请不同的人员来对资源做精细化管理。 **备注**: (允许操作), (不允许操作), 只读(只能查看、不能操作)
功能 项目管理员 项目使用者 项目查看者 财务 审计
部署 查看部署列表
查看部署详情(部署内所有功能)
创建部署
移动部署至其他项目
启动/停止部署
删除部署
修改部署名称
修改部署规格
修改 Serverless 部署消费限额
更新 BYOC 部署许可证
端口管理
TLS/SSL 配置 只读 只读 只读
管理部署 API Key 只读 只读 只读
VPC 对等连接/ PrivateLink 配置 只读 只读 只读
网关/内部接入点配置 只读 只读 只读 只读
访问控制设置 只读 只读 只读
监控设置 只读 只读 只读
数据集成配置 只读 只读 只读
集群连接配置(专有版) 只读 只读 只读
网关配置(专有版) 只读 只读 只读
部署日志
在线调试
数据智能中心 (专有版) 开通/删除服务
Schema 管理 只读 只读 只读
Schema 验证 只读 只读 只读
消息转换 只读 只读 只读
用户管理操作 查看用户列表
用户管理
项目管理 查看项目列表 ✓(仅授权项目) ✓(仅授权项目) ✓(仅授权项目)
创建项目
删除项目
修改项目名称和描述
项目关联子账号
财务管理 查看财务概览
充值/绑定信用卡
查看交易记录
查看历史账单和小时账单
查看代金券
查看发票
申请开票
查看发票地址
修改发票地址
订单管理 只读
续费管理 只读
操作日志
平台 API key 查看平台 API key
管理平台 API key
工单