云服务器内容精选

  • 示例流程 图1 给用户授权NAT网关权限流程 创建用户组并授权 在 IAM 控制台创建用户组,并授予NAT网关服务权限“NATReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择NAT网关,进入NAT网关主界面,单击右上角“购买NAT网关”,如果无法购买NAT网关(假设当前权限仅包含NATReadOnlyAccess),表示“NATReadOnlyAccess”已生效。 在“服务列表”中选择除NAT网关外(假设当前策略仅包含NATReadOnlyAccess)的任一服务,若提示权限不足,表示“NATReadOnlyAccess”已生效。
  • 权限概述 工业数字模型驱动引擎(Industrial Digital Model Engine,简称iDME)权限管理是在 统一身份认证 服务(Identity and Access Management,简称IAM)和组织成员帐号(OrgID)的能力基础上,打造的细粒度权限管理功能。支持对控制台、设计服务和不同运行服务的权限控制,帮助用户便捷灵活的对租户下的IAM用户/用户组和OrgID组织成员设置不同的操作权限。 iDME的权限管理包括“控制台权限”、“设计服务”、“数据建模引擎”和“数字主线引擎”等能力,能够从控制台、设计服务和不同的运行服务层面对用户/用户组和组织成员进行细粒度授权,具体解释如下: 控制台权限:是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过控制台权限设置可以让某些用户组操作控制台(如创建应用、部署应用、卸载应用、购买iDME商品等),让某些用户组仅能在控制台查看资源信息。 设计服务权限:基于IAM能力的授权,通过应用设计态中的用户管理功能使IAM用户拥有进入应用设计态开发应用的权限。 数据建模引擎权限:提供体验版和基础版的数据建模引擎,应用部署在不同的数据建模引擎,对应应用运行态的权限控制能力不同。 部署在体验版数据建模引擎的应用运行态的权限,是基于IAM能力的授权,IAM用户可拥有进入对应应用运行态开发的权限。 部署在基础版数据建模引擎的应用运行态的权限,是基于OrgID能力的授权,OrgID组织成员可拥有进入对应的权限应用运行态开发的权限。请确保您的华为账号已开通OrgID和创建组织。关于OrgID的详细介绍,请参见OrgID。 数字主线引擎权限:基于IAM能力的授权,通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 父主题: 权限管理
  • 授权 为了保证各类数据的安全性,满足用户自定义开发数据对象或功能授权的需求,xDM-F提供基于数据对象和操作的授权功能。您可以通过授权功能将参与者、搜索服务定义/具有“权限管理”功能的数据模型及操作类型进行关联,并将这组关系配置到策略集,提升模型维护效率,方便用户维护系统权限、数据流转等操作。 根据授权维度的不同,xDM-F的授权分为静态授权和动态授权。 表2 授权类型 类型 说明 静态授权 即实体授权,是对搜索服务定义/具有“权限管理”功能的数据模型的权限处理,基于数据模型维度所设置的权限,将影响至此数据模型所有的 数据实例 。 更多关于实体授权的操作请参见授权。 动态授权 即实例授权,是对具有“权限管理”功能的数据实例的精细化权限处理,可以为参与者基于某一个确定的数据实例进行权限设置,常见于工作流审批等需要临时为参与者设置数据权限等场景。 更多关于实例授权的操作请参见管理数据实例授权。
  • 参与者 参与者一般指的是在系统之外与系统交互的某人或某角色,在xDM-F中,参与者指的是对搜索服务定义、“权限管理”功能的数据模型与其数据实例等操作的某人或某角色。xDM-F当前提供如表1所示的参与者类型。 表1 参与者类型 类型 说明 团队角色 指一个人在团队中某一职位上应该承担的责任,例如某业务团队的业务经理、业务组长、业务人员和业务代表。 一个团队可以引用多个团队角色,一个团队角色可以被多个团队引用。 只有被引用的团队角色才可以在团队中为该团队角色添加角色成员。 群组 指将用户按照子公司、部门、项目等维度划分为不同的群组,使群组下的全部用户获得相应的权限,方便统一权限管理。 全局角色 指用于管理xDM-F全局功能的操作权限或者某个子模块最高权限的角色,例如超级管理员、系统管理员、安全管理员、质量管理员、数据源管理员等。 虚拟角色 xDM-F在团队角色中预置了所有人、拥有者和团队成员三种虚拟角色。 所有人:指应用下的所有用户,即“XDMUser”数据实体的所有数据实例。 拥有者:指数据实例的所有者,即创建某个数据实例时指定的所有者。 团队成员:指某个团队下的某个用户。例如某医院的护士团队、急诊医生团队、外科医生团队等,每个团队中均存在临时员工。此时,您可以通过该虚拟角色动态授权/鉴权。 用户 指应用下的个体成员,即“XDMUser”数据实体创建的数据实例。
  • 策略集 策略集是一个容器,是您创建的参与者、数据模型、权限规则和操作类型相互关联的权限策略集合。当应用进行鉴权时,系统将在您指定的策略集中寻找权限策略,来确定参与者是否具有相应权限。更多关于策略集的操作请参见策略集。 xDM-F内置的“adhoc”和“function”策略集不允许编辑、删除或添加子策略集。 此外,文件夹具有策略集继承的功能,子文件夹的策略集可以继承父文件夹的策略集,也可以自定义。更多关于文件夹的操作请参见文件夹。
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。 权限:允许或拒绝某项操作。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 权限 授权项 查询实例详情 aad:instance:get 查询实例列表 aad:instance:list 创建实例 aad:instance:create 修改实例 aad:instance:put 查询证书列表 aad:certificate:list 上传证书 aad:certificate:create 删除证书 aad:certificate:delete 获取 域名 详情 aad:domain:get 获取域名列表 aad:domain:list 添加域名 aad:domain:create 编辑域名 aad:domain:put 删除域名 aad:domain:delete 查询防护策略 aad:policy:get 查询开启防护策略的域名列表 aad:policy:list 创建防护策略 aad:policy:create 更新防护策略 aad:policy:put 删除防护策略 aad:policy:delete 创建黑白名单规则 aad:whiteBlackIpRule:create 删除黑白名单规则 aad:whiteBlackIpRule:delete 查询黑白名单规则列表 aad:whiteBlackIpRule:list 查询配额 aad:quotas:get 查询转发规则 aad:forwardingRule:get 导出转发规则 aad:forwardingRule:list 添加转发规则 aad:forwardingRule:create 修改转发规则 aad:forwardingRule:put 删除转发规则 aad:forwardingRule:delete 查看数据报表 aad:dashboard:get 查询告警通知 aad:alarmConfig:get 创建告警通知 aad:alarmConfig:create
  • 示例流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云数据库 RDS,进入RDS主界面,单击右上角“购买关系型数据库”,尝试购买关系型数据库,如果无法购买关系型数据库(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库 RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,若提示权限不足,表示“RDS ReadOnlyAccess”已生效。
  • 示例流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云数据库 RDS,进入RDS主界面,单击右上角“购买关系型数据库”,尝试购买关系型数据库,如果无法购买关系型数据库(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库 RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,若提示权限不足,表示“RDS ReadOnlyAccess”已生效。
  • 账号类型 表1 账号说明 账号类型 说明 管理员账号root 创建实例页面只提供管理员root账户,支持的权限请参见RDS for MariaDB约束与限制。 说明: 建议用户谨慎对root账户执行revoke、drop user、rename user操作,避免影响业务正常使用。 系统账户 创建RDS for MariaDB数据库实例时,系统会自动为实例创建如下系统账户(用户不可使用),用于给数据库实例提供完善的后台运维管理服务。 mariadb.sys:用于创建视图。 rdsAdmin:管理账户,拥有最高权限,用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl:复制账户,用于备实例或只读实例在主实例上同步数据。 rdsBackup:备份账户,用于后台的备份。 rdsMetric:指标监控账户,用于watchdog采集数据库状态数据。 dsc_readonly:用于数据脱敏。 其他账号 在控制台、API或SQL语句中创建的账号。 创建后可以自行设置权限,请参见修改数据库账号权限。
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 “√”表示支持,“x”表示暂不支持。
  • 示例流程 图1 给用户授权Flexus云数据库RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予Flexus云数据库RDS只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 进入Flexus云数据库RDS界面,单击右上角“购买Flexus云数据库RDS实例”,尝试购买实例,如果无法购买Flexus云数据库RDS(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 选择除Flexus云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“RDS ReadOnlyAccess”已生效。
  • 示例流程 图1 给用户授权Flexus云数据库RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予Flexus云数据库RDS只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 进入Flexus云数据库RDS界面,单击右上角“购买Flexus云数据库RDS实例”,尝试购买实例,如果无法购买Flexus云数据库RDS(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 选择除Flexus云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“RDS ReadOnlyAccess”已生效。
  • 示例流程 图1 给用户授权流程 创建用户组并授权 在IAM控制台创建用户组,并授予成本中心所有操作权限“BSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录成本中心,验证是否具有导出成本明细的权限。 在“成本分析”页面单击“导出成本明细”,验证是否可以导出成功。如果导出成功,表示“BSS Administrator”已生效。
  • 示例场景 如果用户需要访问成本中心的所有操作权限,请授予“BSS Administrator”权限。 如果用户仅需要查看成本中心的成本数据权限,请授予“BSS ReadonlyAccess”权限。 如果用户想要查看成本分析数据,下载分析结果等财务相关的权限,请授予“BSS FinanceAccess”权限。 如果想要对用户权限做更细粒度的限制,可以创建自定义策略。自定义策略的授权项(Action)说明请参考表3。
  • 软件开发生产线控制台权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CodeArts部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CodeArts时,需要先切换至授权区域。 软件开发生产线控制台权限采用细粒度授权方式(即策略)。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CodeArts服务,管理员能够控制IAM用户仅能对CodeArts控制台进行指定的管理操作。 如表1所示,包括了软件开发生产线控制台的所有系统权限。 表1 CodeArts控制台系统权限 策略名称 描述 类别 DevCloud Console FullAccess 软件开发生产线控制台管理员权限,拥有该权限的用户可以购买CodeArts。 说明: 如果由IAM用户购买CodeArts,那么该IAM用户除本权限外,还需要有BSS Administrator、BSS Finance、BSS Operator三种权限其中一种。 系统策略 DevCloud Console ReadOnlyAccess 软件开发生产线控制台只读权限,拥有该权限的用户仅能查看CodeArts资源使用情况。 系统策略 如果为IAM用户授权购买园区套餐的权限,请参考示例4:授权用户在控制台购买园区套餐。园区套餐为专有套餐,套餐详情请咨询客户经理。 表2列出了软件开发生产线控制台常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 DevCloud Console FullAccess DevCloud Console ReadOnlyAccess 在控制台查询项目管理服务资源用量 √ √ 在控制台开通按需项目管理服务 √ × 在控制台取消开通按需项目管理服务 √ × 在控制台查看项目管理服务开通记录 √ √ 在控制台查看项目管理资源列表详情 √ √ 在控制台查询 代码托管服务 资源用量 √ √ 在控制台开通按需代码托管服务 √ × 在控制台取消开通按需代码托管服务 √ × 在控制台查看代码托管服务开通记录 √ √ 在控制台查看仓库托管资源列表详情 √ √ 在控制台查询代码检查服务资源用量 √ √ 在控制台开通按需代码检查服务 √ × 在控制台取消开通按需代码检查服务 √ × 在控制台查看代码检查服务开通记录 √ √ 在控制台查看代码检查资源列表详情 √ √ 在控制台查询编译构建服务资源用量 √ √ 在控制台开通按需编译构建服务 √ × 在控制台取消开通按需编译构建服务 √ × 在控制台查看编译构建服务开通记录 √ √ 在控制台查看构建资源列表详情 √ √ 在控制台查询云测-测试管理服务资源用量 √ √ 在控制台开通按需云测-测试管理服务 √ × 在控制台取消开通按需云测-测试管理服务 √ × 在控制台查看云测-测试管理服务开通记录 √ √ 在控制台查看云测-测试管理资源列表详情 √ √ 在控制台开通按需云测-接口测试服务 √ × 在控制台取消开通按需云测-接口测试服务 √ × 在控制台查看云测-接口测试服务开通记录 √ √ 在控制台查看云测-接口测试资源列表详情 √ √ 在控制台查询云测-接口测试服务资源用量 √ √ 在控制台查询发布服务资源用量 √ √ 在控制台开通按需发布服务 √ × 在控制台取消开通按需发布服务 √ × 在控制台查看发布服务开通记录 √ √ 在控制台查看发布资源列表详情 √ √ 在控制台查询CloudIDE服务资源用量 √ √ 在控制台开通按需CloudIDE服务 √ × 在控制台取消开通按需CloudIDE服务 √ × 在控制台查看CloudIDE服务开通记录 √ √ 在控制台查看CloudIDE资源列表详情 √ √ 在控制台查询Classroom服务资源用量 √ √ 在控制台开通按需Classroom服务 √ × 在控制台取消开通按需Classroom服务 √ × 在控制台查看Classroom服务开通记录 √ √ 在控制台查看Classroom资源列表详情 √ √ 在控制台订购敏捷与DevOps培训服务 √ × 在控制台查看敏捷与DevOps培训服务资源列表详情 √ √ 在控制台新增企业账户授权 √ × 在控制台取消企业账户授权 √ × 在控制台同意或拒绝企业账户授权 √ × 在控制台查看租户授权列表 √ √ 在控制台订购按需套餐包 √ × 在控制台查看按需套餐包资源详情 √ √ 在控制台开通按需服务组合 √ × 在控制台取消开通按需服务组合 √ × 在控制台查看按需服务组合开通记录 √ √ 在控制台订购软件开发平台套餐 √ × 在控制台变更软件开发平台套餐规格 √ × 在控制台查看软件开发平台套餐资源详情 √ √ 权限策略中出现的服务名称,与控制台中服务名称略有不同,其对应关系如表3所示。 表3 服务名称对应关系表 权限策略中的服务名称 控制台中的服务名称 软件开发平台(DevCloud) 软件开发生产线(CodeArts) 项目管理(ProjectMan) 需求管理(CodeArts Req) 代码托管(CodeHub) 代码托管(CodeArts Repo) 代码检查(CodeCheck) 代码检查(CodeArts Check) 编译构建(CloudBuild) 编译构建(CodeArts Build) 部署(CloudDeploy) 部署(CodeArts Deploy) 制品仓库(CloudArtifact) 制品仓库(CodeArts Artifact) 云测(CloudTest) 测试计划(CodeArts TestPlan) 流水线(CloudPipeline) 流水线(CodeArts Pipeline) CloudIDE CodeArts IDE Online