云服务器内容精选

  • 角色概述 用户所关联的角色,赋予用户不同系统操作访问权限。 堡垒机 系统仅admin拥有自定义角色和修改角色的权限。 缺省情况下,系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。默认角色不可删除,但可修改默认角色的权限范围。 表1 系统默认角色说明 参数 说明 部门管理员 部门的运维管理员,主要负责堡垒机系统的管理。除用户管理和角色管理模块之外,部门管理员拥有其他全部模块的配置权限。 策略管理员 用户权限策略管理员,负责主机运维的权限策略管理。主要负责策略权限的配置,拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员,查询管理系统审计数据。主要负责查阅和管理系统的审计数据,拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维,拥有主机运维、应用运维和工单授权管理的权限。 父主题: 用户角色管理
  • 项目级角色 除了工作空间级角色外,AstroPro还为每个项目预置了项目管理员、架构师和开发者三种类型的角色。 项目管理员 可以增删改査项目下的所有资源。 可以为项目下的所有角色分配用户(仅限于同账号下的用户,如图1中的 IAM 用户1、IAM用户2)。 架构师 可以新建服务。 可以删除自己创建的服务,不能删除其他人创建的服务。 可以对项目下的所有服务进行编辑。 开发者 可以查看项目下的所有资源。 可以重新编译有权限项目下的服务并下载代码。
  • 工作空间管理员 账号登录AstroPro后会自动开通工作空间,每个账号只能开通一个工作空间,开通工作空间的账号默认为此空间的工作空间管理员。工作空间管理员对本工作空间下的所有资源具有增删改查权限,可以为本账号下用户分配项目下的角色。每个工作空间至少拥有一个工作空间管理员。 账号是指当您首次使用华为云时注册的账号,该账号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。账号统一接收所有IAM用户进行资源操作时产生的费用账单。在一个账号下,您可以创建多个用户,账号和用户的关系如图1所示。如果您没有华为账号,可参考 注册华为账号 并开通华为云中操作注册。如何在账号中添加用户,请参见创建IAM用户。 账号下的用户,如果没有分配任何AstroPro中的角色,则只能查看工作空间下的所有资源,不具备其他权限。 例如,给“IAM用户1”赋予工作空间管理员权限,给“IAM用户2”赋予项目A中的项目管理员权限,则“IAM用户1”可以增删改查本工作空间下的所有资源,“IAM用户2”仅可对工作空间中的项目A执行增删改査等操作,而“IAM用户3”未赋予任何角色,则只能查看本工作空间下的资源。
  • AstroPro角色说明 不同的角色,操作权限有所不同,AstroPro常用操作与角色之间的关系如表1所示,您可以按需申请您的角色权限。 如果您申请的新权限低于您当前的权限级别,系统将只保留一个角色权限,即新申请的权限会覆盖现有的权限。因此,在您决定更换权限之前,建议您仔细了解并比较您当前的权限设置与新申请权限之间的具体差异。 表1 AstroPro常用操作与角色之间的关系 操作 工作空间管理员 项目管理员 架构师 开发者 其他(未授权) 新增项目 √ x x x x 编辑项目 √ x x x x 删除项目 √ x x x x 新增服务组 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 编辑服务组 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除服务组 √(工作空间中所有项目) √(工作空间中指定项目内) √(只允许删除自己创建的服务组) x x 新增服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 编辑服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 新增服务版本 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 复制服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(只允许删除自己创建的服务) x x 新增服务依赖 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除服务依赖 √(工作空间中所有项目) √(工作空间中指定项目内) √(仅自己创建的服务依赖) x x 重新生成代码并下载 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) √(工作空间中指定项目内) x 查看服务详情 √ √ √ √ √ 查看变更记录 √ √ √ √ √ 申请角色 √ √ √ √ √ 撤回申请 √(仅撤回自己的申请) √(仅撤回自己的申请) √(仅撤回自己的申请) √(仅撤回自己的申请) √(仅撤回自己的申请) 审批角色 √(工作空间中所有项目) √(工作空间中指定项目内) x x x 删除角色 √(工作空间中所有项目) √(工作空间中指定项目内) x x x 创建前台应用 √ √ √ √ x 开发前台应用 √ √ √ √ x 删除前台应用 √ √ √ √ x 下载前端业务代码 √ √ √ √ √ 查看前台应用 √ √ √ √ √ 发布页面模板 √ √ √ √ x 删除页面模板 √ √ √ √ x 新增架构模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 修改架构模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 删除架构模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(只允许删除自己创建的模板) x x 查看架构模板 √ √ √ √ √ 新增业务对象模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 修改业务对象模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 删除业务对象模板 √(工作空间级及所有项目) √(工作空间中指定项目) √(只允许删除自己创建的模板) x x 查看业务对象模板 √ √ √ √ √ 新增业务模块 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 修改业务模块 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 删除业务模块 √(工作空间级及所有项目) √(工作空间中指定项目) √(只允许删除自己创建的模块) x x 查看业务模块 √ √ √ √ √ 新增自定义字段 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 修改自定义字段 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 删除自定义字段 √(工作空间级及所有项目) √(工作空间中指定项目) √(只允许删除自己创建的自定义字段) x x 查看自定义字段 √ √ √ √ √ 新增流控策略 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 修改流控策略 √(工作空间级及所有项目) √(工作空间中指定项目) √(工作空间中指定项目) x x 删除流控策略 √(工作空间级及所有项目) √(工作空间中指定项目) √(只允许删除自己创建的流控策略) x x 查看流控策略 √ √ √ √ √ 新增应用 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 修改应用 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 同步应用 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除应用 √(工作空间中所有项目) √(工作空间中指定项目内) √(只允许删除自己创建的应用) x x 查看应用 √ √ √ √ √ 新增子域 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 修改子域 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除子域 √(工作空间中所有项目) √(工作空间中指定项目内) √(只允许删除自己创建的子域) x x 查看子域 √ √ √ √ √ 新增应用服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 修改应用服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 删除应用服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(只允许删除自己创建的子域) x x 关联服务 √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 查看应用服务 √ √ √ √ √ 编辑服务SLA √(工作空间中所有项目) √(工作空间中指定项目内) √(工作空间中指定项目内) x x 查看服务SLA √ √ √ √ √ 导入物料包 √ √ √ √ x 更新物料包 √ √ √ √ x 下载物料包 √ √ √ √ x 查看物料包 √ √ √ √ √
  • 响应示例 状态码: 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码: 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码: 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码: 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码: 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码: 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }
  • 响应参数 状态码: 200 表3 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,定位辅助信息。 状态码: 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 404 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 500 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。
  • URI DELETE /v1/{project_id}/instances/{instance_id}/roles/{role_name} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 role_name 是 String 角色名称。只能包含字母、数字、下划线、中划线,且长度为1~255个字符。
  • 预置角色 预置角色是系统自动生成的角色信息,客户端可用的预置角色名称有read,readWrite。 mongodb使用角色来管理数据库的,所以创建一个用户时就需要赋予一个角色。角色除了内置之外,也可以自定义角色。 表1 常见内置角色 角色 权限描述 包含的操作命令 read read角色包含读取所有非系统集合数据和订阅部分系统集合(system.indexes、system.js、system.namespaces)的权限。 changeStream、collStats、dbHash、dbStats、find、killCursors、listIndexes、listCollections readWrite readWrite角色包含read角色的权限同时增加了对非系统集合数据的修改权限,但只对系统集合system.js有修改权限。 collStats、convertToCapped、createCollection、dbHash、dbStats、dropCollection、createIndex、dropIndex、find、insert、killCursors、listIndexes、listCollections、remove、renameCollectionSameDB、update readAnyDatabase readAnyDatabase角色包含对除了config和local之外所有数据库的只读权限。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的读取权限。当前版本如果需要对这两个数据库进行读取,则需要在admin数据库授予用户对这两个数据库的read角色。 readWriteAnyDatabase readWriteAnyDatabase角色包含对除了config和local之外所有数据库的读写权限。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的读写权限。当前版本如果需要对这两个数据库进行读写,则需要在admin数据库授予用户对这两个数据库的readWrite角色。 dbAdmin dbAdmin角色包含执行某些管理任务(与schema相关、索引、收集统计信息)的权限,该角色不包含用户和角色管理的权限。 对于系统集合(system.indexes、system.namespaces、system.profile)包含命令操作:collStats、dbHash、dbStats、find、killCursors、listIndexes、listCollections、dropCollection and createCollection(仅适用system.profile) 对于非系统集合包含命令操作:bypassDocumentValidation、collMod、collStats、compact、convertToCapped、createCollection、createIndex、dbStats、dropCollection、dropDatabase、dropIndex、enableProfiler、reIndex、renameCollectionSameDB、repairDatabase、storageDetails、validate dbAdminAnyDatabase dbAdminAnyDatabase角色包含类似于dbAdmin角色对于所有数据库管理权限,除了config数据库和local数据库。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的管理权限。当前版本如果需要对这两个数据库进行管理,则需要在admin数据库授予用户对这两个数据库的dbAdmin角色。 clusterAdmin clusterAdmin角色包含MongoDB集群管理最高的操作权限。 clusterManager、clusterMonitor和hostManager三个角色的所有权限,并且还拥有dropDatabase操作命令的权限。 userAdmin userAdmin角色包含对当前数据库创建和修改角色和用户的权限。该角色允许向其它任何用户(包括自身)授予任何权限,所以这个角色也提供间接对超级用户(root)的访问权限,如果限定在admin数据中,也包括集群管理的权限。 changeCustomData、changePassword、createRole、createUser、dropRole、dropUser、grantRole、revokeRole、setAuthenticationRestriction、viewRole、viewUser userAdminAnyDatabase userAdminAnyDatabase角色包含类似于userAdmin角色对于所有数据库的用户管理权限,除了config数据库和local数据库。 对于集群包含命令操作:authSchemaUpgrade、invalidateUserCache、listDatabases 对于系统集合admin.system.users和admin.system.roles包含命令操作:collStats、dbHash、dbStats、find、killCursors、planCacheRead、createIndex、dropIndex 父主题: 角色管理
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 total Integer 总数 offset Integer 第几页 limit Integer 每页多少条 role_members Array of RoleMemberInfo objects 角色成员信息集合 表5 RoleMemberInfo 参数 参数类型 描述 id String 应用账号id account_name String 应用账号名 name String 应用账号名称 org_id String 应用机构id disabled Boolean 是否禁用 account_type String 应用账号类型 extension Object 自定义扩展属性 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误编号。 error_msg String 错误详情。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 Authorization 是 String 认证凭据,值:Bearer {access_token},access_token通过“获取访问凭据”接口获取。 表3 请求Body参数 参数 是否必选 参数类型 描述 offset 是 Integer 第几页。 最小值:0 limit 是 Integer 每页多少条。 最小值:10 最大值:100
  • 请求示例 根据应用id和角色id分页查询应用侧角色成员列表,返回查询结果前10条数据,如不满10条,则返回实际数量的结果。 GET https://{domain_name}/api/v2/tenant/applications/{application_id}/role-member-list/{role_id} Authorization: Bearer 334963fc-1e4a-473b-9096-52a929140... { "offset": "0", "limit": "10", }
  • 响应示例 状态码: 200 请求成功。 { "total" : 1, "offset" : 0, "limit" : 10, "role_members" : [ { "id" : "20220210090626329-AFAE-EB2862B3A", "account_name" : "adminAcc", "account_type" : "1", "name" : "管理员", "org_id" : "20220210135202250-92C8-D89EC88C6", "disabled" : false, "extension" : null } ] }
  • 角色管理命令简介 此章节主要介绍用角色管理SQL基本语法和使用说明。 创建角色,role_name:指新建角色名称。 CREATE role IF NOT EXISTS 'role_name' ON CLUSTER default_cluster; 给角色赋予权限。 授予全部创建(库、表)权限。 GRANT CREATE ON *.* TO role1 ON CLUSTER default_cluster; 授予test_db库下创建表权限。 GRANT CREATE TABLE ON test_db.* TO role1; 授予全部删除(库、表)权限。 GRANT DROP ON test_db.* TO role1; 删除角色。 DROP ROLE 'role_name' ON CLUSTER default_cluster; 查询用户的权限和角色。 查询用户权限。 show grants for all; 查询角色权限。 show grants for role1; 父主题: ClickHouse角色管理
  • 预置角色 预置角色是系统自动生成的角色信息,客户端可用的预置角色名称有read,readWrite。 mongodb使用角色来管理数据库的,所以创建一个用户时就需要赋予一个角色。角色除了内置之外,也可以自定义角色。 表1 常见内置角色 角色 权限描述 包含的操作命令 read read角色包含读取所有非系统集合数据和订阅部分系统集合(system.indexes、system.js、system.namespaces)的权限。 changeStream、collStats、dbHash、dbStats、find、killCursors、listIndexes、listCollections readWrite readWrite角色包含read角色的权限同时增加了对非系统集合数据的修改权限,但只对系统集合system.js有修改权限。 collStats、convertToCapped、createCollection、dbHash、dbStats、dropCollection、createIndex、dropIndex、find、insert、killCursors、listIndexes、listCollections、remove、renameCollectionSameDB、update readAnyDatabase readAnyDatabase角色包含对除了config和local之外所有数据库的只读权限。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的读取权限。当前版本如果需要对这两个数据库进行读取,则需要在admin数据库授予用户对这两个数据库的read角色。 readWriteAnyDatabase readWriteAnyDatabase角色包含对除了config和local之外所有数据库的读写权限。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的读写权限。当前版本如果需要对这两个数据库进行读写,则需要在admin数据库授予用户对这两个数据库的readWrite角色。 dbAdmin dbAdmin角色包含执行某些管理任务(与schema相关、索引、收集统计信息)的权限,该角色不包含用户和角色管理的权限。 对于系统集合(system.indexes、system.namespaces、system.profile)包含命令操作:collStats、dbHash、dbStats、find、killCursors、listIndexes、listCollections、dropCollection and createCollection(仅适用system.profile) 对于非系统集合包含命令操作:bypassDocumentValidation、collMod、collStats、compact、convertToCapped、createCollection、createIndex、dbStats、dropCollection、dropDatabase、dropIndex、enableProfiler、reIndex、renameCollectionSameDB、repairDatabase、storageDetails、validate dbAdminAnyDatabase dbAdminAnyDatabase角色包含类似于dbAdmin角色对于所有数据库管理权限,除了config数据库和local数据库。同时对于整个集群包含listDatabases命令操作。 在MongoDB3.4版本之前,该角色包含对config和local数据库的管理权限。当前版本如果需要对这两个数据库进行管理,则需要在admin数据库授予用户对这两个数据库的dbAdmin角色。 clusterAdmin clusterAdmin角色包含MongoDB集群管理最高的操作权限。 clusterManager、clusterMonitor和hostManager三个角色的所有权限,并且还拥有dropDatabase操作命令的权限。 userAdmin userAdmin角色包含对当前数据库创建和修改角色和用户的权限。该角色允许向其它任何用户(包括自身)授予任何权限,所以这个角色也提供间接对超级用户(root)的访问权限,如果限定在admin数据中,也包括集群管理的权限。 changeCustomData、changePassword、createRole、createUser、dropRole、dropUser、grantRole、revokeRole、setAuthenticationRestriction、viewRole、viewUser userAdminAnyDatabase userAdminAnyDatabase角色包含类似于userAdmin角色对于所有数据库的用户管理权限,除了config数据库和local数据库。 对于集群包含命令操作:authSchemaUpgrade、invalidateUserCache、listDatabases 对于系统集合admin.system.users和admin.system.roles包含命令操作:collStats、dbHash、dbStats、find、killCursors、planCacheRead、createIndex、dropIndex 父主题: 角色管理