云服务器内容精选
-
Anti-DDoS权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 Anti-DDoS部署时通过物理区域划分,为项目级服务,授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问Anti-DDoS时,需要先切换至授权区域。 如表1所示,包括了Anti-DDoS的所有系统角色。由于云上各服务之间存在业务交互关系,Anti-DDoS服务的角色依赖其他服务的角色实现功能。因此给用户授予Anti-DDoS服务的角色时,需要同时授予依赖的角色,Anti-DDoS服务的权限才能生效。 表1 Anti-DDoS系统角色 策略名称 描述 依赖关系 Anti-DDoS Administrator Anti-DDoS服务的管理员权限。 依赖Tenant Guest角色。 Tenant Guest:全局级角色,在全局项目中勾选。 Anti-DDoS FullAccess Anti-DDoS流量清洗服务所有权限 - Anti-DDoS ReadOnlyAccess Anti-DDoS流量清洗服务只读权限 -
-
示例流程 图1 给用户授权VPCEP权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 VPC终端节点 权限“VPCEndpoint Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择“VPC终端节点”,进入VPCEP主界面,单击右上角“购买终端节点”,尝试购买终端节点,如果可以购买,表示“VPCEndpoint Administrator”已生效。 在“服务列表”中选择除VPC终端节点外(假设当前权限仅包含VPCEndpoint Administrator)的任一服务,若提示权限不足,表示“VPCEndpoint Administrator”已生效。
-
示例流程 图1 给用户授权DRS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 数据复制服务 管理员权限“DRS Administrator”权限。 创建用户 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域验证权限,操作如下: 在“服务列表”中选择数据复制服务,进入DRS主界面,单击右上角“创建迁移任务”,尝试创建迁移任务,如果可以创建迁移任务(假设当前权限仅包含“DRS Administrator”),就表示“DRS Administrator”权限已生效。
-
解决方案 方法一:使用主账号重新创建一次任务,主账号默认有Security Administrator权限,可在创建任务后将委托创建出来。 方法二:使用主账号在子账号所在的用户组添加Security Administrator权限后,重新创建任务。添加权限的具体操作请参见:创建用户并授权使用DRS。 方法三:手动添加“账户委托”,添加步骤如下: 使用主账号登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“ 统一身份认证 ”。 在统一身份认证页面,单击左侧导航窗格中“委托”,进入“委托”页面。 在“委托”页面,单击右上方的“+创建委托”进行委托创建。 填写委托名称为“DRS_AGENTCY” ,委托类型为 “普通账号”时, 委托的账号为 “op_svc_rds”;委托类型为“云服务”时,选择“关系型数据库MySQL”;持续时间为“永久”,完成后单击“下一步”。 图1 创建委托 在“选择策略”页面,选择DRS_AGENTCY的授权策略,委托权限需配置全局的 Tenant Administrator,完成后单击右下角的“下一步”。 图2 选择策略 在“设置最小授权范围”页面,先选择全局服务资源授权后,再基于指定区域设置最小授权范围,完成后单击右下角的“确定”。 图3 全局服务资源授权 图4 指定区域项目授权 授权完成后,单击委托名称,在“授权记录”中可看到全局服务和指定区域两条授权记录。 图5 授权记录 权限生效时间提醒,您选中的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效,权限生效后重新创建即可。
-
示例流程 图1 给用户授权EIP权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予EIP只读权限“EIP ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择弹性公网IP,进入EIP主界面,单击右上角“购买弹性公网IP”,尝试购买弹性公网IP,如果无法购买弹性公网IP(假设当前权限仅包含EIP ReadOnlyAccess),表示“EIP ReadOnlyAccess”已生效。 在“服务列表”中选择除弹性公网IP及其子页面外(假设当前策略仅包含EIP ReadOnlyAccess)的任一服务,如果提示权限不足,表示“EIP ReadOnlyAccess”已生效。
-
EIP自定义策略样例 示例1:授权用户创建和查看EIP列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:publicIps:create", "vpc:publicIps:list" ] } ] } 示例2:拒绝用户删除EIP 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Alow和Deny,则遵循Deny优先原则。 如果您给用户授予EIP FullAccess的系统策略,但不希望用户拥有EIP FullAccess中定义的删除EIP权限,您可以创建一条拒绝删除EIP的自定义策略,然后同时将EIP FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对EIP执行除了删除外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "vpc:publicIps:delete" ] } ] }
-
示例流程 图1 给用户授权MetaStudio权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予MetaStudio管理员权限“MetaStudio FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证MetaStudio FullAccess的管理员权限。 在“服务列表”中选择数字内容生产线,进入服务主界面,单击“分身形象制作”,并参考形象制作,制作分身数字人。如果制作成功,说明“MetaStudio FullAccess”已生效。
-
示例流程 图1 给用户授权Flexus云数据库RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予Flexus云数据库RDS只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 进入Flexus云数据库RDS界面,单击右上角“购买Flexus云数据库RDS实例”,尝试购买实例,如果无法购买Flexus云数据库RDS(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 选择除Flexus云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“RDS ReadOnlyAccess”已生效。
-
前提条件 CloudTable服务暂不支持细粒度策略,仅支持系统角色“cloudtable Administrator”。当前CloudTable默认的系统角色“cloudtable Administrator” 仅适用于未开通企业项目的账号,如已开通,请使用IAM自定义策略并直接给用户授权。 给用户组授权之前,请您了解用户组可以添加的CloudTable权限,并结合实际需求进行选择,CloudTable支持的系统权限,请参见:CloudTable系统权限。如果您需要对除CloudTable之外的其它服务授权,IAM支持服务的所有权限请参见权限策略。
-
示例流程 图1 给用户授权CloudTable权限流程 创建用户组并授权 使用云登录IAM控制台,创建用户组,并授予 表格存储服务 的管理员权限“cloudtable Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入步骤1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择 表格存储 服务,进入CloudTable主界面,单击右上角“购买集群”,尝试创建表格存储服务集群,如果可以创建(假设当前权限仅包含cloudtable Administrator),表示“cloudtable Administrator”已生效。 在“服务列表”中选择除表格存储服务之外(假设当前策略仅包含cloudtable Administrator)的任一服务,如果提示权限不足,表示“cloudtable Administrator”已生效。
-
示例流程 图1 授权DDM权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“DDM ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择 分布式数据库 中间件服务,进入DDM主界面,单击右上角“购买分布式数据库中间件实例”,尝试购买分布式数据库中间件实例,如果无法购买分布式数据库中间件实例(假设当前权限仅包含DDM ReadOnlyAccess),表示“DDM ReadOnlyAccess”已生效。 在“服务列表”中选择除分布式数据库中间件服务外(假设当前策略仅包含DDM ReadOnlyAccess)的任一服务,若提示权限不足,表示“DDM ReadOnlyAccess”已生效。
-
示例流程 图1 给用户授权ServiceStage权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予ServiceStage服务“ServiceStage ReadOnlyAccess”权限。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证ServiceStage的只读权限: 在“服务列表”中选择“应用管理与运维平台 ServiceStage”。 进入“应用管理”页面,单击“创建应用”。 若提示权限不足,表示“ServiceStage ReadOnlyAccess”已生效。
-
创建用户并授权使用Workspace 操作场景 如果需要对您所拥有的Workspace资源进行精细的权限管理,可以使用统一身份认证服务(Identity and Access Management,简称IAM)。通过IAM,您可以: 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用Workspace 云桌面 。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用云桌面的其他功能。 本章节以授予“Workspace ReadOnlyAccess”权限为例介绍为用户授权的方法 前提条件 给用户组授权之前,请您了解用户组可以添加的Workspace权限,并结合实际需求进行选择。若您需要对除Workspace之外的其他服务授权,IAM支持服务的所有权限请参见:系统权限。 示例流程 创建用户组并授权。 在IAM控制台创建用户组,并授予Workspace服务只读权限“Workspace ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限(假设当前权限仅包含Workspace ReadOnlyAccess)。 在“服务列表”中选择云桌面服务,进入桌面管理界面,执行除查询以外的其他操作,如:开关机、重启、创建、修改、删除等。 示例:对桌面进行开机或关机操作,若提示权限不足,表示“Workspace ReadOnlyAccess”已生效。 在“服务列表”中选择除云桌面服务外的任意一个服务,如“虚拟私有云”,若提示权限不足,表示“Workspace ReadOnlyAccess”已生效。 父主题: 权限管理
-
策略语法 如下以云桌面服务的“Workspace Administrator”为例,说明RBAC策略语法。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "WKS:workspaces:*", "WKS:desktops:*", "WKS:users:*", "WKS:policies:*", "WKS:products:*" ] } ], "Depends": [ { "catalog": "VPC", "display_name": "VPC Administrator" }, { "catalog": "BASE", "display_name": "Server Administrator" }, { "catalog": "BASE", "display_name": "Tenant Guest" } ] } 表1 参数说明 参数 含义 值 Version 策略的版本。 固定为“1.0”。 Statement Action 定义对云桌面的具体操作。 格式为:服务名:资源类型:操作 “workspaces:*:*”,表示对云桌面的所有操作,其中workspaces为服务名称;“*”为通配符,表示对所有的资源类型可以执行所有操作。 Effect 定义Action中所包含的具体操作是否允许执行。 Allow:允许执行。 Deny:不允许执行。 Depends catalog 依赖的策略的所属服务。 服务名称。 例如:BASE。 display_name 依赖的策略的名称。 权限名称 例如:Tenant Administrator。
-
操作说明 角色权限功能:支持主账号对子用户可备案角色的授权管理,主账号备案权限不受影响。 Beian Administrator:备案服务管理员,具备备案系统功能操作权限,是针对子用户设置的唯一角色权限,主账号不可通过开关控制,如子用户无需备案权限,在统一身份认证管理系统授权时不勾选即可。 Tenant Administrator:全部云服务管理员(除IAM管理权限),拥有该角色权限的IAM子用户默认具备备案系统功能操作权限。 Tenant Administrator配置开关若打开,子用户具备备案权限。 Tenant Administrator配置开关若关闭,子用户无备案权限。 统一提示为:抱歉,您没有备案权限。如您需要操作备案,请联系您的管理员为您配置Beian Administrator角色以开通备案权限。 图3 无权限提示
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
