云服务器内容精选
-
前提条件 给用户组授权之前,请您了解用户组可以添加的DSC权限,并结合实际需求进行选择,DSC支持的系统权限如表1所示。如果您需要对除DSC之外的其它服务授权, IAM 支持服务的所有权限请参见系统权限。 用户在执行云资源委托授权/停止授权时必须拥有IAM的管理员权限(“Security Administrator”权限)。 表1 DSC系统权限 角色名称 描述 类别 依赖关系 DSC DashboardReadOnlyAccess 数据安全中心 服务大屏服务只读权限。 系统策略 无 DSC FullAccess 数据安全中心服务所有权限。 系统策略 购买RDS包周期实例需要配置授权项: bss:order:update bss:order:pay DSC ReadOnlyAccess 数据安全中心服务只读权限。 系统策略 无
-
示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予数据安全中心权限“DSC FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择除数据安全中心外(假设当前策略仅包含“DSC FullAccess”)的任一服务,如果提示权限不足,表示“DSC FullAccess”已生效。
-
给用户组授权 在用户组列表中,单击新建用户组“开发人员组”操作列的“授权”“权限配置”。 在用户组“选择策略”页面中,在搜索框中搜索“ CSS FullAccess”和“OBS Administrator”,勾选并单击“下一步”。 创建 CS S集群的权限有“CSS FullAccess”或“Elasticsearch Administrator”。 如果还需要查看资源的消费情况,请在同区域选择“BSS Administrator”权限。 设置最小授权范围。建议授权范围方案选择“指定区域项目资源”,使用哪个区域的资源就选哪个区域。 此处以仅为“华北-北京四”区域的资源设置权限为例,选择授权范围方案为“指定区域项目资源”,并选择“cn-north-4 [华北-北京四]”区域。 图1 设置最小授权范围 单击“确定”,完成用户组授权。
-
IAM用户登录并验证权限 在登录页面,单击登录下方的“IAM用户”“IAM用户登录”“子用户登录”,在“IAM用户登录”页面,输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“密码”“账号名”、“用户名/邮箱”和“密码”。 图5 IAM用户登录 表3 登录信息 参数 示例 说明 租户名/原华为云账号名 Company-A IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。 IAM用户名/邮件地址 Alice 在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道用户名及初始密码,请向管理员获取。 IAM用户密码 ******** IAM用户的密码,非账号密码。此处需要输入上一步中下载的密码。 单击“登录”,登录华为云。 在“服务列表”中选择 云搜索服务 ,进入 云搜索 服务CSS控制台。 在云搜索服务总览页面右上角,单击“创建集群”按钮,按照创建集群的步骤创建集群,如果创建成功,则表示权限配置成功。
-
MgC FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:*", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas", "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }
-
MgC DiscoveryAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery" ] } ] }
-
MgC AssessAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas", "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }
-
MgC MrrAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:mrr:query", "mgc:mrr:update", "mgc:mrr:export", "mgc:mrr:import", "mgc:mrr:upgrade", "mgc:mrr:delete", "mgc:mrr:check" ], "Effect": "Allow" } ] } } }
-
MgC MigrateAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "mgc:*:migrate", "iam:agencies:listAgencies", "iam:roles:listRoles", "iam:quotas:listQuotas", "iam:permissions:listRolesForAgency" ], "Effect": "Allow" } ] }
-
MgC AppDiscoveryAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:appdiscovery" ] } ] }
-
示例流程 图1 给用户授权MgC权限流程 创建用户组并授权 系统策略:在IAM控制台创建用户组,并根据MgC系统策略说明以及实际的权限要求,为用户组授权MgC系统策略,授权范围方案选择“所有资源”。 表1 MgC系统策略说明 策略名称 描述 策略类别 策略内容 MgC FullAccess 迁移中心管理员权限,拥有操作MgC的所有权限。 系统策略 MgC FullAccess策略内容 MgC ReadOnlyAccess 迁移中心只读权限,仅能查看MgC资源,无法进行操作。 系统策略 MgC ReadOnlyAccess策略内容 MgC DiscoveryAccess 迁移中心资源发现操作权限,拥有操作资源发现功能的权限和只读权限。 系统策略 MgC DiscoveryAccess策略内容 MgC AssessAccesss 迁移中心评估操作权限,拥有操作评估功能、资源发现功能的权限和只读权限。 系统策略 MgC AssessAccesss策略内容 MgC MigrateAccess 迁移中心迁移操作权限,拥有操作迁移功能、评估功能、资源发现功能的权限和只读权限。 系统策略 MgC MigrateAccess策略内容 MgC AppDiscoveryAccess 迁移中心资源采集操作权限,拥有操作资源采集功能、资源发现功能的权限和只读权限。 系统策略 MgC AppDiscoveryAccess策略内容 MgC MrrAccess 迁移中心业务验证操作权限,拥有业务验证功能的权限和只读权限。 系统策略 MgC MrrAccess策略内容 自定义策略:如果IAM用户只需要拥有迁移中心 MgC部分操作权限,则使用自定义策略,参见MgC自定义策略。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 当IAM用户首次使用MgC的特定功能时,需要通过以下两种方式授予委托权限: 推荐方式:请管理员登录MgC控制台,进入相关功能界面,同意相关委托权限。 备选方式:请管理员登录“ 统一身份认证 服务 IAM”服务,为当前IAM用户配置创建委托所需的权限,确保其拥有MgC相关系统策略以及"iam:agencies:createAgency"、"iam:permissions:grantRoleToAgency"、"iam:roles:createRole"和"iam:roles:updateRole"的权限。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择迁移中心 MgC,进入MgC主界面,根据您授予的权限可以进行对应操作,表示授予的权限已生效。 在“服务列表”中选择除迁移中心 MgC外的任一服务,若提示权限不足,表示授予的权限已生效。
-
TaurusDB自定义策略样例 示例1:授权用户创建TaurusDB实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "gaussdb:instance:create" ] } ] } 示例2:拒绝用户删除TaurusDB实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予 GaussDB FullAccess的系统策略,但不希望用户拥有GaussDB FullAccess中定义的删除TaurusDB实例权限,您可以创建一条拒绝删除TaurusDB实例的自定义策略,然后同时将GaussDB FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对TaurusDB执行除了删除TaurusDB实例外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "gaussdb:instance:delete" ], } ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Action": [ "gaussdb:instance:create", "gaussdb:instance:modify", "gaussdb:instance:delete", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] } 示例4 对目标用户授权管理指定的实例和实例的部分功能 假设您的账号下有多个实例,但是作为管理员。您希望授权TaurusDB实例中的部分实例给目标用户,并授予部分功能给目标用户,那么您可以创建如下权限策略: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "gaussdb:instance:restart", "gaussdb:instance:modify" ], "Resource": [ "GAUSSDB:*:*:instance:test*" ] }, { "Effect": "Allow", "Action": [ "gaussdb:param:list", "gaussdb:tag:list", "gaussdb:backup:list", "gaussdb:instance:create", "gaussdb:instance:list" ] } ] } 被授予该权限策略的目标用户号可以查看所有的实例,但只能管理已被授权的实例。同时作为管理员,您仍然可以使用API直接管理上述实例。被授予该权限策略的目标用户仅可以对账号下所有的TaurusDB实例进行重启和修改实例操作,但不允许进行其他任何操作。 test*是对实例名称的模糊匹配,在权限策略中是必须的,否则被授权的用户无法在控制台看到任何实例。 TaurusDB支持通过用户进行API级别的访问控制,您可以通过相关API对TaurusDB进行细粒度的权限访问控制,详情请参见API概览。
-
示例流程 图1 给用户授权NAT网关权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予NAT网关服务权限“NATReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择NAT网关,进入NAT网关主界面,单击右上角“购买NAT网关”,如果无法购买NAT网关(假设当前权限仅包含NATReadOnlyAccess),表示“NATReadOnlyAccess”已生效。 在“服务列表”中选择除NAT网关外(假设当前策略仅包含NATReadOnlyAccess)的任一服务,若提示权限不足,表示“NATReadOnlyAccess”已生效。
-
权限概述 工业数字模型驱动引擎(Industrial Digital Model Engine,简称iDME)权限管理是在统一身份认证服务(Identity and Access Management,简称IAM)和组织成员帐号(OrgID)的能力基础上,打造的细粒度权限管理功能。支持对控制台、设计服务和不同运行服务的权限控制,帮助用户便捷灵活的对租户下的IAM用户/用户组和OrgID组织成员设置不同的操作权限。 iDME的权限管理包括“控制台权限”、“设计服务”、“数据建模引擎”和“数字主线引擎”等能力,能够从控制台、设计服务和不同的运行服务层面对用户/用户组和组织成员进行细粒度授权,具体解释如下: 控制台权限:是基于IAM系统策略的授权,可以通过用户组功能实现IAM用户的授权。用户组是用户的集合,通过控制台权限设置可以让某些用户组操作控制台(如创建应用、部署应用、卸载应用、购买iDME商品等),让某些用户组仅能在控制台查看资源信息。 设计服务权限:基于IAM能力的授权,通过应用设计态中的用户管理功能使IAM用户拥有进入应用设计态开发应用的权限。 数据建模引擎权限:提供体验版和基础版的数据建模引擎,应用部署在不同的数据建模引擎,对应应用运行态的权限控制能力不同。 部署在体验版数据建模引擎的应用运行态的权限,是基于IAM能力的授权,IAM用户可拥有进入对应应用运行态开发的权限。 部署在基础版数据建模引擎的应用运行态的权限,是基于OrgID能力的授权,OrgID组织成员可拥有进入对应的权限应用运行态开发的权限。请确保您的华为账号已开通OrgID和创建组织。关于OrgID的详细介绍,请参见OrgID。 数字主线引擎权限:基于IAM能力的授权,通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 父主题: 权限管理
-
策略集 策略集是一个容器,是您创建的参与者、数据模型、权限规则和操作类型相互关联的权限策略集合。当应用进行鉴权时,系统将在您指定的策略集中寻找权限策略,来确定参与者是否具有相应权限。更多关于策略集的操作请参见策略集。 xDM-F内置的“adhoc”和“function”策略集不允许编辑、删除或添加子策略集。 此外,文件夹具有策略集继承的功能,子文件夹的策略集可以继承父文件夹的策略集,也可以自定义。更多关于文件夹的操作请参见文件夹。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
