Cloudflare新權限設定功能 Domain Scoped Roles 有效管理角色權限

隨著域組的引入，帳戶所有者可以按組而不是單獨授予用戶對域的訪問權限。可以在這些組中添加域或從中刪除域，以自動更新有權訪問該組的人員的訪問權限。這減少了管理用戶訪問的工作量。

Cloudflare 允許將用戶訪問範圍限定在域名內，從而使企業帳戶所有者可以更輕鬆地管理其團隊對 Cloudflare 的訪問。確保用戶完全擁有他們需要的訪問權限是至關重要的，Domain Scoped Roles 向前邁出了重要的一步。此外，隨著域組的引入，帳戶所有者可以按組而不是單獨授予用戶對域名的訪問權限。可以在這些組中添加域名或從中刪除域名，以自動更新有權訪問該組的人員的訪問權限。這減少了管理用戶訪問的工作量。

如何使用Domain Scoped Roles

• 登入 dash.cloudflare.com，選擇您的帳戶，然後導航至會員頁面。
  • 從這裡，您可以邀請具有Domain Scoped Roles的新成員或修改現有用戶的權限。在這種情況下，我們將邀請一個新用戶。

• 邀請新成員時，需要提供三樣東西：
  • 邀請哪些用戶。
  • 他們可以訪問的資源範圍：
    • 選擇“所有域”將允許您選擇legacy roles。
  • 將決定授予哪些權限的角色。

設定完成後，點選Members，您將能夠確認用戶、範圍和角色。
 

Scope可以將域名設為Domain群組-方便有效管理

除了為每個用戶手動創建包含或排除列表之外，帳戶所有者還可以創建域名Group以允許將一個或多個用戶授予成一個群組。可以從成員邀請流程或直接從 Account Configurations -> Lists創建域名群組。創建域名群組時，用戶選擇要包含的域名，從那時起，在邀請用戶加入帳戶時可以使用該群組。

後台顯示如下:
 

舊版 DNS 使用者管理權限

雖然簡單明瞭，但它有很多缺點。首先，這意味著無法定義應用權限的資源限制，無論是一組資源還是資源屬性。其次，給定“資源”的權限只是讀取或編輯，其中編輯包括創建和刪除。這些並不能完全滿足可能存在的需求——例如，在允許編輯的同時限制刪除。

Cloudflare 公布新的權限設定功能-Bach系統

Cloudflare 公布新的權限設定功能-Bach系統，是設計給 Domain Scoped Roles Bach 的新權限系統。Bach 提供了一個基於策略的系統，用於定義對 Cloudflare 控制平面的授權。授權定義了某人可以在系統中做什麼。這使客戶能夠定義更精細的權限和資源範圍。資源可以是用戶與之交互的任何對象，無論是帳戶、區域、工作人員環境還是 DNS 記錄等等。而在 Cloudflare 的舊系統，每個角色都定義了適用於的廣泛權限僅對於”整個Account”，而新系統Bach 的策略允許「更深層次的權限授予」，這些權限可以限定為資源集。

比較舊系統及Bach系統的比較。通常，用戶的權限由分配給他們的“角色”定義。新系統的功能設定其中包含可以設定的功能更多，例如：“超級管理員”、“管理員”、“Cloudflare for Teams”和“Cloudflare Workers Admin”等。在舊系統中，每一個都只有一組明確的簡單權限，如“workers:read”、“workers:edit”或“zones:edit”。為了更改區域設置，參與者需要擁有“區域：編輯”權限——可以從多個角色之一授予該權限。

新Bach系統權限設定功能如下：