云服务器内容精选
-
策略集 策略集是一个容器,是您创建的参与者、数据模型、权限规则和操作类型相互关联的权限策略集合。当应用进行鉴权时,系统将在您指定的策略集中寻找权限策略,来确定参与者是否具有相应权限。更多关于策略集的操作请参见策略集。 xDM-F内置的“adhoc”和“function”策略集不允许编辑、删除或添加子策略集。 此外,文件夹具有策略集继承的功能,子文件夹的策略集可以继承父文件夹的策略集,也可以自定义。更多关于文件夹的操作请参见文件夹。
-
授权 为了保证各类数据的安全性,满足用户自定义开发数据对象或功能授权的需求,xDM-F提供基于数据对象和操作的授权功能。您可以通过授权功能将参与者、服务编排/搜索服务定义/具有“权限管理”功能的数据模型及操作类型进行关联,并将这组关系配置到策略集,提升模型维护效率,方便用户维护系统权限、数据流转等操作。 根据授权维度的不同,xDM-F的授权分为静态授权和动态授权。 表2 授权类型 类型 说明 静态授权 即实体授权,是对服务编排/搜索服务定义/具有“权限管理”功能的数据模型的权限处理,基于数据模型维度所设置的权限,将影响至此数据模型所有的 数据实例 。 更多关于实体授权的操作请参见授权。 动态授权 即实例授权,是对具有“权限管理”功能的数据实例的精细化权限处理,可以为参与者基于某一个确定的数据实例进行权限设置,常见于工作流审批等需要临时为参与者设置数据权限等场景。 更多关于实例授权的操作请参见管理数据实例授权。
-
参与者 参与者一般指的是在系统之外与系统交互的某人或某角色,在xDM-F中,参与者指的是对服务编排、搜索服务定义、“权限管理”功能的数据模型与其数据实例等操作的某人或某角色。xDM-F当前提供如表1所示的参与者类型。 表1 参与者类型 类型 说明 团队角色 指一个人在团队中某一职位上应该承担的责任,例如某业务团队的业务经理、业务组长、业务人员和业务代表。 一个团队可以引用多个团队角色,一个团队角色可以被多个团队引用。 只有被引用的团队角色才可以在团队中为该团队角色添加角色成员。 群组 指将用户按照子公司、部门、项目等维度划分为不同的群组,使群组下的全部用户获得相应的权限,方便统一权限管理。 全局角色 指用于管理xDM-F全局功能的操作权限或者某个子模块最高权限的角色,例如超级管理员、系统管理员、安全管理员、质量管理员、数据源管理员等。 虚拟角色 xDM-F在团队角色中预置了所有人、拥有者和团队成员三种虚拟角色。 所有人:指应用下的所有用户,即“XDMUser”数据实体的所有数据实例。 拥有者:指数据实例的所有者,即创建某个数据实例时指定的所有者。 团队成员:指某个团队下的某个用户。例如某医院的护士团队、急诊医生团队、外科医生团队等,每个团队中均存在临时员工。此时,您可以通过该虚拟角色动态授权/鉴权。 用户 指应用下的个体成员,即“XDMUser”数据实体创建的数据实例。
-
示例流程 图1 给用户授权 CS BS权限流程 创建用户组并授权 在 IAM 控制台创建用户组,并授予云服务器备份权限“CSBS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云服务器备份,进入CSBS主界面,单击右上角“ 购买云服务器 备份”,尝试购买云服务器备份,如果可以购买云服务器备份,表示“CSBS Administrator”已生效。 在“服务列表”中选择除云服务器备份外的任一服务,若提示权限不足,表示“CSBS Administrator”已生效。
-
示例流程 图1 给用户授权SFS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予只读权限如下所示: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess” 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 选择弹性文件服务,进入SFS主界面,单击右上角“创建文件系统”,尝试创建文件系统,如果无法创建文件系统,则表示以下权限已生效: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess” 选择除弹性文件服务外的任一服务,如果提示权限不足,则表示以下权限已生效: 弹性文件服务(SFS容量型文件系统):“SFS ReadOnlyAccess” 弹性文件服务(SFS Turbo文件系统):“SFS Turbo ReadOnlyAccess” 弹性文件服务(通用文件系统):“SFS3 ReadOnlyAccess”
-
基本概念 数字化制造云平台(MBM Space)提供了自定义角色的功能,支持为不同的角色配置不同的操作权限,让用户权限管理更加灵活、便捷。在进行用户与权限管理前,请先了解一下如下基本概念。 角色 MBM Space基于RBAC(Role-Based Access Control)能力的授权,通过服务的“角色管理”实现不同用户的访问控制。MBM Space为您预置了超级管理员、租户管理员角色。您可以根据实际需求,自定义角色,并给角色授予菜单栏目权限。 权限 在MBM Space中添加的用户默认是没有任何权限的,需要将其加入角色,才能使得角色中的用户获得对应的权限。用户可以基于被授予的角色权限对系统进行操作。 超级管理员 超级管理员拥有“用户管理”和“租户管理”的权限,可以新增用户、新增业务租户以及管理租户的成员。 购买数字化制造云平台的账号即为MBM Space预置的超级管理员,系统支持将其他用户授予超级管理员角色,使其获得对应的权限。 租户管理员 租户管理员拥有“角色管理”的权限,可以新增角色、授予角色菜单栏目功能权限以及管理角色权限对应的用户。 购买数字化制造云平台的账号即为MBM Space预置的租户管理员,系统支持将其他用户授予租户管理员角色,使其获得对应的权限。
-
前提条件 给用户组授权之前,请您了解用户组可以添加的SecMaster权限,并结合实际需求进行选择,SecMaster支持的系统权限,请参见SecMaster系统权限。如果您需要对除SecMaster之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 如表1所示,包括了SecMaster的所有系统权限。 表1 SecMaster系统权限 系统角色/策略名称 描述 类别 依赖关系 SecMaster FullAccess 安全云脑 的所有权限。 系统策略 无 SecMaster ReadOnlyAccess 安全云脑只读权限,拥有该权限的用户仅能查看安全云脑数据,不具备安全云脑配置权限。 系统策略 无
-
示例流程 图1 给用户授予SecMaster权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予安全云脑的权限“SecMaster FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在服务列表中选择除安全云脑外(假设当前策略仅包含“SecMaster FullAccess”)的任一服务,如果提示权限不足,表示“SecMaster FullAccess”已生效。
-
响应示例 状态码为 200 时: 请求成功。 { "roles": [ { "domain_id": null, "flag": "fine_grained", "description_cn": "查询 域名 信息", "catalog": "CDN", "name": "system_all_11", "description": "Allow Query Domains", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/roles/db4259cce0ce47c9903dfdc195eb453b" }, "id": "db4259cce0ce47c9903dfdc195eb453b", "display_name": "CDN Domain Viewer", "type": "AX", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "cdn:configuration:queryDomains", "cdn:configuration:queryOriginServerInfo", "cdn:configuration:queryOriginConfInfo", "cdn:configuration:queryHttpsConf", "cdn:configuration:queryCacheRule", "cdn:configuration:queryReferConf", "cdn:configuration:queryChargeMode", "cdn:configuration:queryCacheHistoryTask", "cdn:configuration:queryIpAcl", "cdn:configuration:queryResponseHeaderList" ], "Effect": "Allow" } ] } } ], "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/domains/d78cbac186b744899480f25bd022f468/groups/077d71374b8025173f61c003ea0a11ac/roles" } }
-
响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 权限信息列表。 表4 links 参数 参数类型 描述 self String 资源链接。 previous String 前一个邻接资源链接地址,不存在时为null。 next String 后一个邻接资源链接地址,不存在时为null。 表5 roles 参数 参数类型 描述 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时,标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。仅在创建时中传入了description_cn参数,响应体中才会返回此字段。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务CCS普通用户权限CCS User的name为ccs_user。 携带在用户的token中,云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明: AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy Object 权限的具体内容。 updated_time String 权限更新时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 权限创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表6 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表7 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 表8 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又有Deny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Condition Object 限制条件。如果创建此策略未传入此字段,则返回结果中也无此字段。 说明: 以请求示例中的Condition为例:条件键(obs:prefix)和字符串(public)需相等(StringEquals)。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Array of strings 资源,如果创建此策略时未传入此字段,则返回结果中也无此字段。规则如下: 说明: 可填 * 的五段式:::::,例:"obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时,该字段类型为Object,值为:"Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。
-
URI GET /v3/domains/{domain_id}/groups/{group_id}/roles 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。
-
示例流程 图1 给用户授权DAS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予数据管理服务 “DAS FullAccess”权限。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 在“服务列表”中选择“数据管理服务 DAS”,进入DAS主界面,单击详情页左上角“新增数据库登录”,若可以正常创建数据库登录,则表示DAS所需权限策略均已生效。
-
示例流程 图1 给用户授权SFS Turbo权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予只读权限“SFS Turbo ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 选择高性能弹性文件服务,进入SFS Turbo主界面,单击右上角“创建文件系统”,尝试创建文件系统,如果无法创建文件系统,则表示“SFS Turbo ReadOnlyAccess”权限已生效。 选择除高性能弹性文件服务外的任一服务,如果提示权限不足,则表示“SFS Turbo ReadOnlyAccess”权限已生效。
-
Organizations自定义策略样例 示例1:授权IAM用户邀请账号加入组织、从组织中移除成员账号。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:accounts:invite", "organizations:accounts:remove" ] } ] } 示例2:拒绝IAM用户删除OU、移除成员账号。 拒绝策略需要同时配合其他策略使用,否则没有实际作用。如果没有主动授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创建一条拒绝删除OU、成员账号的自定义策略,然后同时将OrganizationsFullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对组织执行除了删除OU、移除成员账号外的所有操作。拒绝策略示例如下: { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:ous:delete", "organizations:accounts:remove" ] } ] }
-
操作流程 图1 给用户授权RDS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 如果需要使用到对接其他服务的一些功能时,除了需要配置“RDS ReadOnlyAccess”权限外,还需要配置对应服务的权限。 例如:使用控制台连接实例时,除了需要配置“RDS ReadOnlyAccess”权限外,您还需要配置数据管理服务“DAS FullAccess”权限后,才可正常使用控制台登录数据库实例。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云数据库RDS,进入RDS主界面,单击右上角“购买关系型数据库”,尝试购买关系型数据库,如果无法购买关系型数据库(假设当前权限仅包含RDS ReadOnlyAccess),表示“RDS ReadOnlyAccess”已生效。 在“服务列表”中选择除云数据库RDS外(假设当前策略仅包含RDS ReadOnlyAccess)的任一服务,若提示权限不足,表示“RDS ReadOnlyAccess”已生效。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
