云服务器内容精选

  • 策略授权系统权限 CCI服务支持基于策略授权的授权模型。如表4所示,包括了CCI基于策略授权中的所有系统策略。策略授权的系统策略与角色授权的系统策略并不互通。 表4 CCI系统策略 系统策略名称 描述 策略类别 CCIFullAccessPolicy 云容器实例服务所有权限 系统策略 CCIReadOnlyPolicy 云容器实例服务只读访问权限 系统策略 表5列出了CCI常用操作与系统策略的授权关系,您可以参照该表选择合适的系统策略。 表5 常用操作与系统策略的关系 操作 CCIFullAccessPolicy CCIReadOnlyPolicy 创建Pod √ x 删除Pod √ x 查看Pod √ √ 查看资源使用率 √ √ 创建文件存储卷 x x 删除文件存储卷 x x 查看文件存储卷 √ √ 创建ConfigMap √ x 删除ConfigMap √ x 查看ConfigMap √ √ 创建Secret √ x 删除Secret √ x 查看Secret √ √ 查看日志 √ √ 获取指定namespace √ √ 创建namespace √ x 删除namespace √ x
  • 角色授权系统权限 CCI服务支持基于角色授权的授权模型。默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CCI部署时通过物理区域划分,为项目级服务。授权时,“授权范围”需要选择“指定区域项目资源”,然后在指定区域(如华北-北京四)对应的项目(cn-north-4)中设置相关权限,并且该权限仅对此项目生效;如果“授权范围”选择“所有资源”,则该权限在所有区域项目中都生效。访问CCI时,需要先切换至授权区域。 如表2所示,包括了CCI的所有系统权限。基于角色授权场景的系统策略与基于策略授权场景的并不互通。 表2 CCI系统权限 系统策略名称 描述 类别 CCI FullAccess 云容器实例所有权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 说明: 对象存储服务 OBS为全局级服务,若需要使用对象存储服务请为其单独授予权限,授权操作请参见对象存储服务权限控制。 系统策略 CCI ReadOnlyAccess 云容器实例只读权限,拥有该权限的用户仅能查看云容器实例资源。 系统策略 CCI CommonOperations 云容器实例普通用户,拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。 系统策略 CCI Administrator 云容器实例管理员权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 系统角色 表3列出了CCI常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表3 常用操作与系统策略的关系 操作 CCI FullAccess CCI ReadOnlyAccess CCI CommonOperations 创建无状态负载 √ x √ 删除无状态负载 √ x √ 查看无状态负载 √ √ √ 升级负载 √ x √ 伸缩负载 √ x √ 删除Pod √ x √ 查看Pod √ √ √ 创建任务 √ x √ 删除任务 √ x √ 查看任务 √ √ √ 创建定时任务 √ x √ 删除定时任务 √ x √ 查看定时任务 √ √ √ 查看资源使用率 √ √ √ 添加云硬盘卷 √ x √ 删除云硬盘卷 √ x √ 查看云硬盘卷 √ √ √ 创建文件存储卷 √ x √ 删除文件存储卷 √ x √ 查看文件存储卷 √ √ √ 创建ConfigMap √ x √ 删除ConfigMap √ x √ 查看ConfigMap √ √ √ 创建Secret √ x √ 删除Secret √ x √ 查看Secret √ √ √ 添加SSL证书 √ x √ 删除SSL证书 √ x √ 查看SSL证书 √ √ √ 添加日志存储 √ x √ 查看日志 √ √ √ 安装插件 √ x √ 删除插件 √ x √ 查看插件 √ √ √ 查看授权 √ √ √ 新增授权 √ x x 删除授权 √ x x 获取指定namespace √ √ √ 创建namespace √ x x 删除namespace √ x x 创建network √ x x 删除network √ x x 查询network列表 √ √ √ 查询network详情 √ √ √
  • 身份认证 用户访问云数据库 GaussDB 时支持对数据库用户进行身份验证,包含密码验证和IAM验证两种方式。 密码验证 您需要对数据库实例进行管理,使用数据管理服务(Data Admin Service)登录数据库时,需要对账号密码进行验证,验证成功后方可进行操作。 IAM验证 您可以使用 统一身份认证 服务(Identity and Access Management, IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。您创建的IAM用户,需要通过验证用户和密码才可以使用GaussDB资源。具体请参见创建IAM用户并登录。
  • 访问控制 权限控制 购买实例之后,您可以使用IAM为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过IAM进行精细的权限管理。具体内容请参见权限管理。 VPC和子网 虚拟私有云(Virtual Private Cloud, VPC)为云数据库构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。 子网提供与其他网络隔离的、可以独享的网络资源,以提高网络安全性。 具体内容请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的和 GaussDB数据库 实例提供访问策略。为了保障数据库的安全性和稳定性,在使用GaussDB数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。 具体请参见设置安全组规则。
  • 项目与企业项目 弹性云服务器支持通过项目及企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 项目 IAM中的项目用于将OpenStack的资源(计算资源、存储资源和网络资源)进行分组和隔离。用户拥有的资源必须挂载在项目下,项目可以是一个部门或者项目组。一个账户中可以创建多个项目。 企业项目 企业管理中的企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。 项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中的资源不能转移,只能删除后重建。 企业项目 企业项目是IAM项目的升级版,是针对企业不同项目间资源的分组和管理。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。如果您开通了企业管理,将不能创建新的IAM项目(只能管理已有项目)。未来IAM项目将逐渐被企业项目所替代,推荐使用更为灵活的企业项目。 项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 关于如何创建项目、企业项目,以及如何授权,请参阅管理项目和企业项目。
  • IAM身份认证 弹性云服务器支持通过IAM进行精细的权限管理,实现用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制资源的访问。 您可以在账号中创建IAM用户,并授权控制他们对资源的访问范围。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。 权限管理简介,请参见E CS 权限管理。 授权使用ECS,请参见创建用户并授权使用ECS。 自定义策略,请参见ECS自定义策略。 策略及授权项详情,请参见策略及授权项说明。
  • 访问控制 虚拟私有云 虚拟私有云(Virtual Private Cloud,以下简称VPC)为弹性云服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当弹性云服务器加入该安全组后,即受到这些访问规则的保护。 如何设置虚拟私有云和安全组,请参见步骤二:网络配置。
  • 命名空间权限 Kubernetes RBAC API定义了四种类型:Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding,这两种类型之间的关系和简要说明如下: ClusterRole:描述角色和权限的关系。在Kubernetes的RBAC API中,一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding:描述subjects(包含users,groups)和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户,该用户或用户组则具有对应绑定ClusterRole定义的权限。 表1 RBAC API所定义的两种类型 类型名称 说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject(用户)绑定到某个具有特定权限的ClusterRole下,则此subject即具有该ClusterRole定义的权限。 当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。
  • 服务的访问控制 CES 对接了华为云统一身份认证服务(Identity and Access Management,简称IAM)。如果您需要对华为云上的CES资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 鉴权 您可以通过以下方式登录华为云,如图1所示。 华为云帐号:您首次使用华为云时创建的帐号,该帐号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限。 IAM用户:由管理员在IAM中创建的用户,是云服务的使用人员,根据帐号授予的权限使用资源。 企业联邦用户:由管理员在IAM中创建的企业身份提供商用户。 图1 登录华为云 访问控制 CES基于IAM提供了系统策略和自定义策略,需要给用户配置相应策略,才能创建或访问CES资源,具体操作步骤参考:创建用户并授权使用 云监控服务 。建议您使用自定义策略,定义CES所需的最小权限集合即可。 父主题: 身份认证与访问控制
  • CloudPond基础设施安全 华为云致力于打造可信云平台,CloudPond整体上继承了华为 云安全 建设规范,具体安全方案细节请参见华为云安全白皮书。 CloudPond用户侧和平台侧分别实施了严格的安全隔离策略,华为云负责CloudPond平台的运维和安全运营,提供7*24小时安全监控运营服务。 CloudPond平台侧默认全部部署了主机安全服务,华为云会定期对平台侧执行 漏洞扫描 ,并按照SLA(Service-Level Agreement)的要求及时安装补丁修复漏洞。 华为云对CloudPond平台侧的账号权限进行集中管理,并定期进行账号密钥轮换,以防止未经授权的访问。
  • 通信安全 中心云与CloudPond之间存在如下两类网络线路通信: 运维管理线路:该线路通过CloudPond内置VPN(Virtual Private Network)实现传输加密,保证网络通信安全。其相关数据为平台运维和服务管控层数据,不涉及用户业务数据通信。 业务互联线路:该线路通过网络加密技术实现传输加密,保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据,该传输数据和传输策略由用户VPC进行控制。
  • 企业项目 CloudPond支持通过企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。 企业项目可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属企业项目中获得策略中定义的权限。 关于如何创建企业项目,以及如何授权,请参阅企业项目。
  • 行级访问控制 在业务开发过程中,存在多个用户共同访问和维护同一张表的场景,需要针对不同用户设置不同行数据的访问权限。例如只允许用户A查看跟自己相关的行数据,即相对于表的管理员能看到全部表数据而言,用户A执行SELECT * FROM table_name的时候,只能看到部分行数据,不能看到所有,以行级进行数据访问控制,对此GaussDB(DWS)行级访问控制特性实现了这一功能。将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。 行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。 了解更多请参见行级访问控制。 父主题: 身份认证与访问控制
  • 访问控制 虚拟私有云 虚拟私有云(Virtual Private Cloud,以下简称VPC)为边缘服务构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为边缘业务构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间边缘业务的访问规则,加强边缘业务的安全保护。 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的边缘业务提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当边缘业务加入该安全组后,即受到这些访问规则的保护。 如何设置虚拟私有云和安全组,请参见边缘网络。
  • 访问控制 虚拟私有云 虚拟私有云(Virtual Private Cloud,以下简称VPC)为云手机服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为云手机服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间云手机服务器的访问规则,加强云手机服务器的安全保护。 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云手机服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云手机服务器加入该安全组后,即受到这些访问规则的保护。 如何设置虚拟私有云和安全组,请参见表2 自定义网络配置。