Cloudflare CDN 支持多账号协作吗?多账号协作功能使用指南
最近收到好幾個工程師朋友的私訊,都在問同一個問題:Cloudflare 能不能讓團隊多人同時管理?特別是那種跨部門協作,或者代理商要幫客戶代管的情況。老實說,這個問題背後的痛點我太懂了,權限亂給怕出事,權限給不夠又卡流程,搞到最後常常變成某個倒楣鬼當「人肉中繼站」,所有操作都得經過他,效率低到懷疑人生。今天就來深挖 Cloudflare 的多帳號協作機制,講點真正實戰會遇到的細節。
Cloudflare 的多帳號管理,核心是「成員 (Members)」這個角色。它不是讓你開一堆獨立帳號各自為政,而是允許你把現有 Cloudflare 帳號(就是註冊用的那個 Email)邀請進來,成為你「主帳號」底下某個特定層級的協作者。這裡有個關鍵:被邀請的人,他原本自己的 Cloudflare 帳號(如果有的話)和他被邀請加入的「組織」,是完全分開的!他登入後,在 Cloudflare 儀表板左上角的下拉選單裡,可以自由切換「管理自己的網站」或「管理被邀請加入的組織/帳號」。
權限的設定才是精髓所在,也是區分「會不會用」的重點。Cloudflare 的權限不是簡單的「能看」或「能改」二分法,而是非常細緻的「角色 (Roles)」系統。預設角色有幾個:超級管理員 (Super Administrator – 幾乎無所不能)、管理員 (Administrator – 不能動付款和成員)、BIZ 或 ENT 方案特有的「讀取管理員 (Read-only Administrator)」等等。但最強大的其實是「自訂角色 (Custom Roles)」。
自訂角色這功能,免費方案就有,但很多人沒深挖。舉個實例:你只想讓外包的 SEO 公司能調整 Page Rules 裡的緩存設定和 Browser Cache TTL,但又不能碰到 Firewall Rules 或 WAF,怕他們手滑改錯。這時就能創建一個自訂角色,只勾選「Zone Settings」裡的「Cache」相關權限,以及「Page Rules」的「Edit」權限,其他全部不勾。把他邀請進來,賦予這個自訂角色,他就真的只能看到和操作這兩個地方,儀表板其他區塊對他來說是隱形的。這種顆粒度才是實戰需要的,避免「給太多」或「給不夠」的尷尬。
還有一個容易被忽略但超實用的功能:稽核日誌 (Audit Log)。只要是付費方案 (Pro, Biz, Enterprise) 都看得到。所有成員的操作,誰、在什麼時間、對哪個域名、做了什麼動作(例如改了哪條 DNS 記錄、新增了哪條 Firewall Rule),通通記錄得清清楚楚。出問題要追查或釐清責任歸屬時,這就是你的救命稻草。免費版看不到這個,所以如果協作成員多或涉及重要網站,強烈建議至少升級到 Pro。
實務上踩過的坑也得提醒:邀請成員時,務必確認對方是用「正確的 Cloudflare 帳號 Email」接受邀請。最怕的是對方手邊有多個 Email,不小心用錯帳號接受,結果權限賦予失敗,或者他根本找不到被邀請的網站。另外,移除成員時要果斷,尤其是離職員工。Cloudflare 移除成員是即時生效的,被移除者當下就會失去所有存取權限。最後,超級管理員權限絕對要握緊,公司內部通常只給極少數核心 IT 人員,避免權限失控。
Cloudflare 的多帳號協作架構,說穿了就是用「成員 (Members)」+「角色 (Roles)」+「區域指派 (Zone Assignment)」三層組合拳。摸透這套邏輯,不管是內部團隊分工、代理商代管客戶,或是跨國團隊協作,都能玩得轉,既安全又高效。權限這東西,寧可一開始給得保守,再慢慢根據實際需求擴充,也別一開始就「All Access」然後出事了再來救火。
评论: