云服务器内容精选
-
示例场景 如果用户需要访问成本中心的所有操作权限,请授予“BSS Administrator”权限。 如果用户仅需要查看成本中心的成本数据权限,请授予“BSS ReadonlyAccess”权限。 如果用户想要查看成本分析数据,下载分析结果等财务相关的权限,请授予“BSS FinanceAccess”权限。 如果想要对用户权限做更细粒度的限制,可以创建自定义策略。自定义策略的授权项(Action)说明请参考表3。
-
示例流程 图1 给用户授权流程 创建用户组并授权 在 IAM 控制台创建用户组,并授予成本中心所有操作权限“BSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录成本中心,验证是否具有导出成本明细的权限。 在“成本分析”页面单击“导出成本明细”,验证是否可以导出成功。如果导出成功,表示“BSS Administrator”已生效。
-
MgC自定义策略样例 平台采集、资源管理 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery" ] } ] } TCO评估、主机评估 { "Version": "1.1", "Statement": [ { "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "iam:agencies:listAgencies", ], "Effect": "Allow" } ] } 应用关联分析 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:appdiscovery" ] } ] } 迁移工作流 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "mgc:*:query*", "mgc:*:discovery", "mgc:*:assess", "mgc:*:migrate", "iam:agencies:listAgencies" ] } ] }
-
云监控服务自定义策略样例 示例1:授权用户拥有云监控服务修改告警规则的权限。 { "Version": "1.1", "Statement": [ { "Action": [ "ces:alarms:put" ], "Effect": "Allow" } ] }
-
示例流程 图1 给用户授权DeH权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予专属主机权限“DeHReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择专属主机服务,进入DeH主界面,单击右上角“购买专属主机”,如果无法购买专属主机(假设当前权限仅包含DeH ReadOnlyAccess),表示“DeH ReadOnlyAccess”已生效。 在“服务列表”中选择除专属主机服务外(假设当前策略仅包含E CS Viewer)的任一服务,若提示权限不足,表示“DeH ReadOnlyAccess”已生效。
-
DDS自定义策略样例 示例1:授权用户创建文档数据库实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:create" ] } ] } 示例2:拒绝用户删除文档数据库实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予DDS FullAccess的系统策略,但不希望用户拥有DDS FullAccess中定义的删除文档数据库实例权限,您可以创建一条拒绝删除文档数据库实例的自定义策略,然后同时将DDS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对DDS执行除了删除文档数据库实例外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "dds:instance:deleteInstance" ], } ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Action": [ "dds:instance:create", "dds:instance:modify", "dds:instance:deleteInstance", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] } 实例4:授权资源策略 一个自定义策略可以设置资源策略,表示在当前的action下面,拥有哪些资源的操作权限,目前支持实例名称的配置,可以用*来表示通配符。授权资源策略的描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dds:instance:list" ] }, { "Effect": "Allow", "Action": [ "dds:instance:modify" ], "Resource": [ "DDS:*:*:instanceName:dds-*" ] } ] }
-
CBH自定义策略样例 示例1:授权用户变更规格CBH实例规格、升级CBH实例版本 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbh:instance:upgrade", "cbh:instance:alterSpec" ] } ] } 示例2:拒绝用户重启CBH实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“CBH FullAccess”的系统策略,但不希望用户拥有“CBH FullAccess”中定义的重启 云堡垒机 的权限,您可以创建一条拒绝重启云 堡垒机 的自定义策略,然后同时将“CBH FullAccess”和拒绝策略授予用户,根据Deny优先原则,则用户可以对CBH实例执行除了重启云堡垒机外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cbh:instance:reboot" ] } ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbh:instance:create" ] }, { "Effect": "Allow", "Action": [ "vpc:subnets:get" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServerFlavors:get" ] } ] }
-
示例流程 图1 给用户授权Flexus云数据库RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予Flexus云数据库RDS只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 进入Flexus云数据库RDS界面,单击右上角“购买Flexus云数据库RDS实例”,尝试购买实例,如果无法购买Flexus云数据库RDS(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 选择除Flexus云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,如果提示权限不足,表示“RDS ReadOnlyAccess”已生效。
-
自动化运维自定义策略样例 示例:拒绝用户对服务卡片进行上下架操作 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予CMS FullAccess的系统策略,但不希望用户拥有CMS FullAccess中定义的卡片上下架权限,您可以创建一条拒绝上下架操作的自定义策略,然后同时将CMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对自动化运维执行除了卡片上下架外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cms:toolmarket:update" ], } ]}
-
响应示例 状态码: 200 OK 请求响应成功 [ { "region" : "region", "name" : "Host cluster creator", "role_id" : "0", "devuc_role_id_list" : null, "group_id" : "2a8c2da888c04a5eaff10d0787c90ea4", "can_view" : true, "can_edit" : true, "can_delete" : true, "can_add_host" : true, "can_manage" : true, "can_copy" : true, "create_time" : "2024-05-31 14:32:59.0", "update_time" : "2024-05-31 14:32:59.0", "role_type" : "cluster-creator"}, { "region" : "region", "name" : "Project admin", "role_id" : "a2e65d2647574f8491cac659a0249d24", "devuc_role_id_list" : null, "group_id" : "2a8c2da888c04a5eaff10d0787c90ea4", "can_view" : true, "can_edit" : true, "can_delete" : true, "can_add_host" : true, "can_manage" : true, "can_copy" : true, "create_time" : "2024-05-31 14:32:59.0", "update_time" : "2024-05-31 14:32:59.0", "role_type" : "project"} ]
-
响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 [数组元素] Array of DevUcClusterPermission objects 主机集群权限矩阵 表4 DevUcClusterPermission 参数 参数类型 描述 region String 局点信息 role_id String 角色id devuc_role_id_list Array of strings 角色id列表 name String 角色名称 group_id String 主机集群id can_view Boolean 是否有查看权限 can_edit Boolean 是否有编辑权限 can_delete Boolean 是否有删除权限 can_add_host Boolean 是否有添加主机权限 can_manage Boolean 是否有权限管理权限 can_copy Boolean 是否有拷贝权限 create_time String 创建时间 update_time String 修改时间 role_type String 角色类型,project-customized:自定义角色;template-project-customized:系统自定义角色;template-customized-inst:系统角色;cluster-creator:集群创建者;project_admin 项目创建者
-
响应示例 状态码: 200 权限数据,list类型数据 [ { "region" : "region", "id" : 99213234, "name" : "环境创建者", "role_id" : "0", "devuc_role_id_list" : null, "environment_id" : "be3e9690d6f64b23b54e79cd02c4b156", "can_view" : true, "can_edit" : true, "can_delete" : true, "can_deploy" : true, "can_manage" : true, "create_time" : "2024-06-21 17:23:55.0", "update_time" : "2024-06-21 17:23:55.0", "role_type" : "environment-creator"}, { "region" : "region", "id" : 99213235, "name" : "项目管理员", "role_id" : "a2e65d2647574f8491cac659a0249d24", "devuc_role_id_list" : null, "environment_id" : "be3e9690d6f64b23b54e79cd02c4b156", "can_view" : true, "can_edit" : true, "can_delete" : true, "can_deploy" : true, "can_manage" : true, "create_time" : "2024-06-21 17:23:55.0", "update_time" : "2024-06-21 17:23:55.0", "role_type" : "project"} ]
-
请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 最小长度:1 最大长度:5000 X-Language 否 String 语言环境,值为通用的语言描述字符串,比如zh-cn等,默认为zh-cn。 会根据语言环境对应展示一些国际化的信息,比如工单类型名称等。 最小长度:1 最大长度:32 X-Time-Zone 否 String 环境时区,值为通用的时区描述字符串,比如GMT+8等,默认为GMT+8。 涉及时间的数据会根据环境时区处理。 最小长度:1 最大长度:32
-
用工作空间限制资源访问 工作空间是ModelArts面向企业用户提供的一个高阶功能,用于进一步将用户的资源划分在多个逻辑隔离的空间中,并支持以空间维度进行访问的权限限定。目前工作空间功能是“受邀开通”状态,作为企业用户您可以通过您对口的技术支持经理申请开通。 在开通工作空间后,系统会默认为您创建一个“default”空间,您之前所创建的所有资源,均在该空间下。当您创建新的工作空间之后,相当于您拥有了一个新的“ModelArts分身”,您可以通过菜单栏的左上角进行工作空间的切换,不同工作空间中的工作互不影响。 创建工作空间时,必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目,但一个工作空间不可以绑定多个企业项目。借助工作空间,您可以对不同用户的资源访问和权限做更加细致的约束,具体为如下两种约束: 只有被授权的用户才能访问特定的工作空间(在创建、管理工作空间的页面进行配置),这意味着,像数据集、算法等AI资产,均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中,如果“选择授权范围方案”时设定为“指定企业项目资源”,那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的,意味着对于一个用户,必须同时拥有工作空间的访问权和训练任务的创建权限(且该权限覆盖至当前的工作空间),他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户,其所有操作均相当于在“default”企业项目里进行,请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户,不受上述约束限制。
-
ModelArts权限管理 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分,为项目级服务,授权时“选择授权范围方案”可以选择“指定区域项目资源”,如果授权时指定了区域(如华北-北京4)对应的项目(cn-north-4),则该权限仅对此项目生效;简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目,所以选择授权范围方案时,也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候,并不是直接将具体的某个权限进行赋权,而是需要先将权限加入到“策略”当中,再把策略赋给用户组。为了方便用户的权限管理,各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求,则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户,拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户,拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲,只给管理员开通“ModelArts FullAccess”,如果不需要太精细的控制,直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制,请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上,当您给用户进行ModelArts赋权时,系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全,不会出现预期外的“越权”,但缺点是,您必须同时给用户赋予不同服务的权限,才能确保用户可以顺利完成某些ModelArts操作。 举例,如果用户需要用OBS中的数据进行训练,当已经为IAM用户配置ModelArts训练权限时,仍需同时为其配置对应的OBS权限(读、写、列表),才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径;读权限主要用于数据的预览以及训练任务执行时的数据读取;写权限则是为了保存训练结果和日志。 对于个人用户或小型组织,一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略,这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时,由于用户的权限较大,会存在相对较大的安全风险,需谨慎使用。(对于个人用户,其默认IAM账号就已经属于admin用户组,且具备Tenant Administrator权限,无需额外操作) 当您需要限制用户操作,仅为ModelArts用户配置OBS相关的最小化权限项,具体操作请参见OBS权限管理。对于其他云服务,也可以进行精细化权限控制,具体请参考对应的云服务文档。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
