云服务器内容精选
-
用户组概述 多个用户加入一个“用户组”形成用户群组,通过对用户组授权可对用户进行批量授权,具体的操作请参见新建访问控制策略并关联用户和资源账户。 仅系统管理员admin或拥有“用户”模块权限用户,可管理用户组,包括新建用户组、维护用户组成员,管理用户组信息、删除用户组等。 用户组与部门挂钩,不属于个人,当前登录用户新建的用户组默认放在登录用户部门下,不支持修改部门,上级部门有用户组权限的用户可以查看下级部门的所有用户组信息,反之不能,同级之间的用户组都能查看。 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。 一个用户可加入多个用户组。 父主题: 用户组管理
-
响应参数 状态码: 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 401 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 405 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。 状态码: 503 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 encoded_authorization_message String 加密后的详细拒绝原因,用户可以自行调用STS服务的decode-authorization-message接口进行解密。
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Content-Type 是 String 发送的实体的MIME类型,如:application/json。 表3 请求Body参数 参数 是否必选 参数类型 描述 group_ids 是 Array of strings 用户组ID列表。
-
更多操作 关于用户组类型、用户组,您还可以执行如表1的操作。 表1 相关操作 操作 说明 编辑用户组类型 单击用户组类型后的,在下拉框中选择“编辑类型”。 删除用户组类型 单击用户组类型后的,在下拉框中选择“删除类型”。 说明: 如果用户组类型中包含用户组,需要先删除用户组才能删除该用户组类型。 编辑用户组 在用户组列表中,单击“操作”列的“编辑”。 删除用户组 在用户组列表中,单击“操作”列的“删除”。 删除用户组不会删除用户,但会影响用户的应用权限,应用的授权请参考设置应用可见范围。 查询用户组成员 在用户组列表中,单击“操作”列的“设置”。 在人员管理页面,输入“人员姓名”、“手机号码”或选择组织,单击“查询”进行搜索。 查看人员详情 在用户组列表中,单击“操作”列的“设置”。 在人员列表中,单击“操作”列的“详情”。 移除用户组成员 在用户组列表中,单击“操作”列的“设置”。 在人员列表中,单击“操作”列的“移除”。
-
操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。 选择角色,系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的,查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administrator”,角色内容中存在“Depends”字段,表示存在依赖关系。给用户组授予“DNS Administrator”角色时,还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色,“DNS Administrator”才能生效。 单击“确定”,完成依赖角色的授权。
-
给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限,请参见:移除用户组权限。 在用户组列表中,单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 在用户组选择策略页面中,勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:开通企业项目。 指定区域项目资源 选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。 说明: 不支持选择专属云DEC的区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时,不需要切换区域,如 对象存储服务 (OBS)、内容分发网络(CDN)等。 如果选择作用范围为“全局服务”,且所勾选的策略包含项目级服务权限,系统自动将项目权限作用范围设置为所有资源,勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”,完成用户组授权。 表2为常用权限,完整的权限列表请参见:系统权限。 当一个用户被加入多个用户组,将会拥有所有已加入用户组的权限。 更多有关权限的使用建议请参见:多运维人员权限设置案例、依赖角色的授权方法、自定义策略使用样例。 表2 常用权限 权限 需要授予的策略 权限说明 授权范围 总负责人 FullAccess 支持基于策略授权服务的所有权限 所有资源 管理资源 Tenant Administrator 除IAM外,其他所有服务的管理员权限 所有资源 查看资源 Tenant Guest 所有资源的只读权限 所有资源 管理IAM用户 Security Administrator IAM的管理员权限 全局服务资源 管理费用 BSS Administrator 费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明: 授权时,需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 E CS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限 指定区域项目资源 IMS FullAccess 镜像服务 的管理员权限 指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限 指定区域项目资源 网络域运维 VPC FullAccess 虚拟私有云的管理员权限 指定区域项目资源 ELB FullAccess 弹性负载均衡的管理员权限 指定区域项目资源 数据库运维 RDS FullAccess 云数据库的管理员权限 指定区域项目资源 DDS FullAccess 文档数据库服务的管理员权限 指定区域项目资源 DDM FullAccess 分布式数据库 中间件的管理员权限 指定区域项目资源 安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的管理员权限 指定区域项目资源 AAD Administrator DDoS高防服务 的管理员权限 指定区域项目资源 WAF Administrator Web应用防火墙 的管理员权限 指定区域项目资源 VSS Administrator 漏洞扫描服务 的管理员权限 指定区域项目资源 CGS Administrator 容器安全服务 的管理员权限 指定区域项目资源 KMS Administrator 数据加密 服务的管理员权限 指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限 指定区域项目资源 SES Administrator 安全专家服务的管理员权限 指定区域项目资源 SC Administrator SSL证书管理服务的管理员权限 指定区域项目资源
-
响应示例 状态码: 200 OK { "user_group" : [ { "group_name" : "group-name", "group_source" : "IAM" } ], "page_info" : { "current_count" : 1 } } 状态码: 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码: 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码: 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码: 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码: 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码: 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }
-
响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 user_group Array of UserGroup objects 用户组。 page_info PagedInfo object 分页信息。 表5 UserGroup 参数 参数类型 描述 group_name String 用户组名称。 group_source String 用户组类型:IAM-云、SAML-联邦、LDAP-权限策略、LOCAL-本地、AGENTTENANT-委托、OTHER-其它。 枚举值: IAM SAML LDAP LOCAL AGENTTENANT OTHER group_id String 用户组ID。 表6 PagedInfo 参数 参数类型 描述 current_count Integer 本次返回的对象个数。最小值为0,最大值为2000。 next_marker String 下一页查询地址。当不存在下一页,则值为null,当值为null时,响应Body无该参数。 previous_marker String 上一页查询地址。当不存在上一页,则值为null,当值为null时,响应Body无该参数。 状态码: 400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。
-
URI GET /v1/{project_id}/instances/{instance_id}/groups 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 group_source 否 String 查询的用户组来源:IAM-云用户、SAML-联邦、LDAP-ld用户、LOCAL-本地用户。 枚举值: IAM SAML LDAP LOCAL limit 否 Integer 查询返回条数。默认值为1000。最小值为1,最大值为2000。 marker 否 String 查询的起始记录ID。最小长度为0,最大长度为256。 reverse_page 否 Boolean 是否查询上一页。默认为false。
-
问题排查 可能原因:管理员授予IAM用户所在用户组的权限不正确。 解决方法:管理员确认并修改授予IAM用户所在用户组的权限,方法请参考:修改用户组权限,权限详情请参考:系统权限。 可能原因:管理员授予的权限已拒绝相关操作的授权项。 解决方法:管理员查看已授予IAM用户的系统权限详情,确认已授予的权限是否有拒绝操作的语句,方法请参考策略语法。如系统权限无法满足您的场景需要,管理员可以创建自定义策略,允许该操作对应的授权项,方法请参考:创建自定义策略。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。 解决方法:管理员将IAM用户添加至用户组中,方法请参见:用户组添加用户。 可能原因:对于区域级服务,管理员没有在在对应的区域进行授权。 解决方法:管理员在对IAM所在用户组授权时,选择对应的区域。如果管理员授予用户默认区域项目的权限,用户只能访问该默认项目中的资源,不拥有该默认项目下IAM子项目的权限,建议您授予IAM用户最小区域权限,方法请参见:给用户组授权。 可能原因:对于区域级服务,IAM用户登录控制台后,没有切换到授权区域。 解决方法:IAM用户访问区域级服务时,请切换至授权区域,方法请参见:切换区域。 可能原因:管理员授予的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效。 解决方法:请IAM用户和管理员等待15-30分钟后重试。 可能原因:您所属账号已欠费,无法使用该资源。 解决方法:请管理员在“费用中心”确认账单并充值,方法请参见:账户充值。 可能原因:浏览器缓存导致权限信息未更新。 解决方法:请清理浏览器缓存后重试。 可能原因:该服务可能提供独立权限控制,如软件开发生产线 CodeArts、对象存储服务OBS。 解决方法:请查看对应服务帮助文档,并授予用户对应权限。如CodeArts各角色的权限是怎样的、OBS权限控制概述。 可能原因:管理员同时在IAM和企业管理给用户授权,基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理,如IAM用户同时拥有所有资源的ECS ReadOnlyAccess、企业项目A的ECS ReadOnlyAccess权限,用户可以查看所有ECS资源。 解决方法:请管理员根据情况在IAM控制台修改用户权限。
-
响应示例 状态码: 201 Successful { "id" : "0efaa0db-6aa4-7aaa-6aa5-c222aaaaf31a", "meta" : { "resourceType" : "Group", "created" : "2023-04-08T14:53:43Z", "lastModified" : "2023-04-08T14:53:43Z" }, "schemas" : [ "urn:ietf:params:scim:schemas:core:2.0:Group" ], "displayName" : "SCIM用户组名g1", "members" : [ { "value" : "ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9", "$ref" : "../Users/ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9", "type" : "User" } ] }
-
请求示例 创建用户组。 POST https://{hostname}/{tenant_id}/scim/v2/Groups { "displayName" : "SCIM用户组名g1", "members" : [ { "value" : "ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9", "$ref" : "../Users/ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9", "type" : "User" } ], "schemas" : [ "urn:ietf:params:scim:schemas:core:2.0:Group" ] }
-
响应参数 状态码: 201 表5 响应Body参数 参数 参数类型 描述 id String 用户组的全局唯一标识符(ID)。 externalId String 外部标识符。 meta Object 元数据。 schemas Array of strings 概要。 displayName String 包含用户组显示名称的字符串。 members Array of objects 用户组中的成员对象列表。 表6 meta 参数 参数类型 描述 resourceType String 资源类型。 created String 资源创建时间。 lastModified String 资源最后更新时间。 表7 members 参数 参数类型 描述 value String 成员的全局唯一标识符(ID)。 $ref String 成员的引用信息。 type String 成员类型,User:用户。 状态码: 400 表8 响应Body参数 参数 参数类型 描述 schema String 概要。 schemas Array of strings 概要列表。 detail String 异常详情。 status Integer 状态码。 timeStamp String 时间戳。 状态码: 403 表9 响应Body参数 参数 参数类型 描述 schema String 概要。 schemas Array of strings 概要列表。 detail String 异常详情。 status Integer 状态码。 timeStamp String 时间戳。 状态码: 404 表10 响应Body参数 参数 参数类型 描述 schema String 概要。 schemas Array of strings 概要列表。 detail String 异常详情。 status Integer 状态码。 timeStamp String 时间戳。 状态码: 409 表11 响应Body参数 参数 参数类型 描述 schema String 概要。 schemas Array of strings 概要列表。 detail String 异常详情。 status Integer 状态码。 timeStamp String 时间戳。 状态码: 500 表12 响应Body参数 参数 参数类型 描述 schema String 概要。 schemas Array of strings 概要列表。 detail String 异常详情。 status Integer 状态码。 timeStamp String 时间戳。
-
请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 承载令牌。 表3 请求Body参数 参数 是否必选 参数类型 描述 externalId 否 String 外部标识符。 displayName 否 String 包含用户组显示名称的字符串。 members 否 Array of objects 用户组中的成员对象列表。 schemas 否 Array of strings 概要。 表4 members 参数 是否必选 参数类型 描述 value 是 String 成员的全局唯一标识符(ID)。 $ref 否 String 成员的引用信息。 type 否 String 成员类型,User:用户。
-
请求示例 将用户添加到用户组中,用户和用户组必须在同一身份源下。 POST https://{hostname}/v1/identity-stores/{identity_store_id}/group-memberships { "group_id" : "0efaa0db-6aa4-7aaa-6aa5-c222aaaaf31a", "member_id" : { "user_id" : "ac6aa714-daa7-1aaa-aaa2-6715aaaa4dd9" } }
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格