云服务器内容精选

  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 “√”表示支持,“x”表示暂不支持。
  • 权限及授权项说明 如果您需要对您所拥有的VPN资源进行精细的权限管理,您可以使用 统一身份认证 服务(Identity and Access Management,简称IAM),如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用VPN服务的其它功能。 默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 如果您要允许或是禁止某个接口的操作权限,请使用策略。 帐号具备所有接口的调用权限,如果使用帐号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询VPN 网关列表,那么这个IAM用户被授予的策略中必须包含允许“vpn:vpnGateways:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:策略实际调用的API接口。 授权项:策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 VPN的支持自定义策略授权项如下所示: 【示例】VPN网关,包含VPN 网关接口对应的授权项,如创建VPN网关、查询VPN网关、查询VPN网关列表、更新VPN网关、删除VPN网关等接口。 “√”表示支持,“x”表示暂不支持。 父主题: 权限和授权项
  • 策略 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询策略列表 GET /v3/{project_id}/policies cbr:policies:list √ √ 创建策略 POST /v3/{project_id}/policies cbr:policies:create √ √ 查询指定策略 GET /v3/{project_id}/policies/{policy_id} cbr:policies:get √ √ 更新策略 PUT /v3/{project_id}/policies/{policy_id} cbr:policies:update √ √ 删除策略 DELETE /v3/{project_id}/policies/{policy_id} cbr:policies:delete √ √
  • 组织策略 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建组织策略 POST /v3/{project_id}/organization-policies cbr:organizationPolicies:create √ √ 查询组织策略列表 GET /v3/{project_id}/organization-policies cbr:organizationPolicies:list √ √ 查询指定组织策略 GET /v3/{project_id}/organization-policies/{organization_policy_id} cbr:organizationPolicies:get √ √ 删除组织策略 DELETE /v3/{project_id}/organization-policies/{organization_policy_id} cbr:organizationPolicies:delete √ √ 更新组织策略 PUT /v3/{project_id}/organization-policies/{organization_policy_id} cbr:organizationPolicies:update √ √
  • 客户端 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 注册客户端 POST /v3/{project_id}/agents cbr:agents:register √ √ 查询单个客户端 GET /v3/{project_id}/agents/{agent_id} cbr:agents:get √ √ 列举客户端 GET /v3/{project_id}/agents cbr:agents:list √ √ 移除客戶端 DELETE /v3/{project_id}/agents/{agent_id} cbr:agents:delete √ √ 更新客戶端 PUT /v3/{project_id}/agents/{agent_id} cbr:agents:update √ √ 移除备份路径 POST /v3/{project_id}/agents/{agent_id}/remove-path cbr:agents:removePath √ √ 新增备份路径 POST /v3/{project_id}/agents/{agent_id}/add-path cbr:agents:addPath √ √
  • 备份共享 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建备份成员 POST /v3/{project_id}/backups/{backup_id}/members cbr:member:create √ √ 更新备份成员状态 PUT /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:update √ √ 查询指定备份成员 GET /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:get √ √ 查询备份成员列表 GET /v3/{project_id}/backups/{backup_id}/members cbr:member:list √ √ 删除备份成员 DELETE /v3/{project_id}/backups/{backup_id}/members/{member_id} cbr:member:delete √ √
  • 标签 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询存储库资源实例 POST /v3/{project_id}/vault/resource_instances/action cbr:vaults:listResourceInstances √ √ 批量添加或删除存储库资源标签 POST /v3/{project_id}/vault/{vault_id}/tags/action cbr:vaults:bulkCreateOrDeleteTags √ √ 添加存储库资源标签 POST /v3/{project_id}/vault/{vault_id}/tags cbr:vaults:setTags √ √ 删除存储库资源标签 DELETE /v3/{project_id}/vault/{vault_id}/tags/{key} cbr:vaults:deleteTags √ √ 查询存储库资源标签 GET /v3/{project_id}/vault/{vault_id}/tags cbr:vaults:getTags √ √ 查询存储库项目标签 GET /v3/{project_id}/vault/tags cbr:vaults:listProjectTags √ √
  • 备份 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询备份列表 GET /v3/{project_id}/backups cbr:backups:list - √ √ 查询指定备份 GET /v3/{project_id}/backups/{backup_id} cbr:backups:get - √ √ 删除备份 DELETE /v3/{project_id}/backups/{backup_id} cbr:backups:delete - √ √ 同步备份 POST /v3/{project_id}/backups/sync cbr:backups:sync - √ √ 恢复备份 POST /v3/{project_id}/backups/{backup_id}/restore cbr:backups:restore ecs:cloudServers:list evs:volumes:list √ √ 复制备份 POST /v3/{project_id}/backups/{backup_id}/replicate cbr:backups:replicate - √ √ 更新备份 PUT /v3/{project_id}/backups/{backup_id} cbr:backups:update - √ √ 查询备份元数据 GET /v3/{project_id}/backups/{backup_id}/metadata cbr:backups:getMetadata - √ √
  • 存储库 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 设置存储库策略 POST /v3/{project_id}/vaults/{vault_id}/associatepolicy cbr:vaults:associatePolicy - √ √ 查询指定存储库 GET /v3/{project_id}/vaults/{vault_id} cbr:vaults:get - √ √ 修改存储库 PUT /v3/{project_id}/vaults/{vault_id} cbr:vaults:update - √ √ 删除存储库 DELETE /v3/{project_id}/vaults/{vault_id} cbr:vaults:delete - √ √ 移除资源 POST /v3/{project_id}/vaults/{vault_id}/removeresources cbr:vaults:removeResources - √ √ 添加资源 POST /v3/{project_id}/vaults/{vault_id}/addresources cbr:vaults:addResources ecs:cloudServers:list evs:volumes:list √ √ 查询存储库列表 GET /v3/{project_id}/vaults cbr:vaults:list - √ √ 创建存储库 POST /v3/{project_id}/vaults cbr:vaults:create ecs:cloudServers:list evs:volumes:list √ √ 查询其他区域存储库列表 GET /v3/{project_id}/external_vaults cbr:vaults:listExternalVaults cbr:vaults:listVaults √ √ 解除存储库策略 POST /v3/{project_id}/vaults/{vault_id}/dissociatepolicy cbr:vaults:dissociatePolicy - √ √ 迁移资源 POST /v3/{project_id}/vaults/{vault_id}/migrateresources cbr:vaults:migrateResources cbr:vaults:addResources √ √
  • 还原点 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 同步还原点 POST /v3/{project_id}/checkpoints/sync cbr:vaults:sync - √ √ 复制备份还原点 POST /v3/{project_id}/checkpoints/replicate cbr:vaults:replicate - √ √ 创建备份还原点 POST /v3/{project_id}/checkpoints cbr:vaults:backup ecs:cloudServers:list evs:volumes:list √ √
  • 可保护性 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询可保护资源 GET /v3/{project_id}/protectables/{protectable_type}/instances cbr:vaults:listProtectables ecs:cloudServers:list evs:volumes:list √ √ 查询指定可保护资源 GET /v3/{project_id}/protectables/{protectable_type}/instances/{instance_id} cbr:vaults:getProtectables ecs:cloudServers:list evs:volumes:list √ √ 查询agent状态 POST /v3/{project_id}/agent/check cbr:backups:checkAgent ecs:cloudServers:list √ √ 查询复制能力 GET /v3/{project_id}/replication-capabilities cbr:backups:queryReplicationCapability - √ √
  • 任务 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询任务列表 GET /v3/{project_id}/operation-logs cbr:tasks:list √ √ 查询单个任务 GET /v3/{project_id}/operation-logs/{operation_log_id} cbr:tasks:get √ √
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 数据加密 服务(DEW)支持的自定义策略授权项如下所示: 加密密钥管理,包含密钥管理对应的授权项,如创建密钥、查询密钥、创建授权等接口。 密钥对管理,包含密钥对管理对应的授权项,如创建密钥对、查询密钥对、删除密钥对等接口。
  • 密码管理 权限 对应的API接口 授权项(Action) 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 实例授权 标签授权 一键重置弹性云服务器密码(企业项目) PUT /v1/{project_id}/cloudservers/{server_id}/os-reset-password ecs:cloudServers:resetServerPwd - √ √ √ √ 查询云服务器是否支持重置密码 GET /v1/{project_id}/cloudservers/{server_id}/os-resetpwd-flag ecs:cloudServers:showResetPasswordFlag - √ √ √ √ 获取Windows云服务器密码 GET /v1/{project_id}/cloudservers/{server_id}/os-server-password ecs:cloudServers:showServerPassword - √ √ √ √ 清除Windows云服务器密码 DELETE /v1/{project_id}/cloudservers/{server_id}/os-server-password ecs:cloudServers:deletePassword - √ √ √ √ 获取云服务器密码(OpenStack原生)(废弃) GET /v2.1/{project_id}/servers/{server_id}/os-server-password ecs:serverPasswords:manage - √ × × × 清除云服务器密码(OpenStack原生)(废弃) DELETE /v2.1/{project_id}/servers/{server_id}/os-server-password ecs:serverPasswords:manage - √ × × × 父主题: 权限和授权项
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 “√”表示支持,“x”表示暂不支持。 高性能弹性文件服务支持的自定义策略授权项如下所示: 【示例】文件系统,包含SFS Turbo所有文件系统接口对应的授权项,如创建文件系统、查询文件系统列表、查询单个文件系统详情、修改文件系统、删除文件系统等接口。 【示例】扩容文件系统,包括SFS Turbo文件系统扩容缩容接口对应的授权项,如扩容共享和缩容共享等接口。 【示例】授权项分类,包含SFS Turbo所有文件系统接口对应的授权项,如创建文件系统、查询文件系统列表、查询单个文件系统详情、删除文件系统等接口。