检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度
、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,限制账号内用户的操作。IAM
权限和授权项 权限及授权项说明 授权项
使用SCP控制成员账号的权限 操作场景 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或O
每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。
授权项 组织管理 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建组织 POST /v1/organizations organizations:organizations:create iam:a
权限管理 如果您要为管理账号中不同的用户,根据职能设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
权限管理 创建IAM用户并授权管理组织 自定义策略
自定义策略 如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏
ns云服务权限,并结合实际需求进行选择,Organizations云服务支持的系统权限,请参见:权限管理。 若您需要对除Organizations云服务之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权
授予列出RAM权限的权限。 list permission * - ram:permissions:get 授予获取RAM权限内容的权限。 read permission * - ram:resourceShares:create 授予使用提供的资源和/或委托人创建资源共享的权限。 write
cbh::getAuthorization 授予获取租户给堡垒机服务委托授权信息的权限。 Read - - - cbh::listTags 授予查询全部标签的权限。 List - - - cbh:instance:getInstanceTags 授予查询堡垒机实例资源的标签信息的权限。 Read instance
授予共享版仓库获取共享账号列表的权限。 List repo * - swr:repo:getRepoDomain 授予共享版仓库判断共享账号是否存在的权限。 Read repo * - swr:repo:updateRepoDomain 授予共享版仓库更新共享账号的权限。 Permission_management
按您代入另一个账户中的角色时所需的唯一标识符筛选访问权限。 sts:SourceIdentity string 单值 按照在请求中传递的源身份筛选访问权限。 sts:TransitiveTagKeys string 多值 按照在请求中传递的可传递标签键筛选访问权限。 sts:AgencySessionName
sForResource 授予权限以获取某个实例标签列表。 List instance * g:ResourceTag/<tag-key> - DataArtsStudio:workspace:listTagsForResource 授予权限以获取某个工作空间标签列表。 List
授予一键重置裸金属服务器密码的权限。 write instance* g:EnterpriseProjectId g:ResourceTag/<tag-key> bms:servers:showResetPasswordFlag 授予查询是否支持一键重置密码的权限。 read instance*
tRegion 授予获取指定实例异地备份区域的权限。 read - - dds:offsiteBackup:listInstance 授予获取异地备份实例的权限。 read - - dds:offsiteBackup:listAll 授予获取异地备份列表的权限。 read - -
资源类型(*为必须) 条件键 rds:task:listAll 授予获取任务信息的权限。 list - - rds:tag:list 授予查询项目标签的权限。 list - - rds:param:listAll 授予获取参数模板列表的权限。 list - - rds:param:listIn
gaussdb:BackupEnabled boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。限定词选择“默认”。 gaussdb:Encrypted boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。限定词选择“默认”。 父主题: 数据库
gaussdbformysql:param:create 授予创建参数组的权限。 write - - gaussdbformysql:param:get 授予获取参数组详情的权限。 read - - gaussdbformysql:param:list 授予获取参数组列表的权限。 list - - gaussdbf
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
