检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略: 角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。
权限和授权项 权限及授权项说明 镜像管理 镜像标签 镜像视图 镜像共享 镜像复制 镜像配额
账号与权限类 如何为密钥授权? 如何创建IAM委托? 开通企业项目后,在企业项目管理页面查不到私有镜像怎么办? 开通企业项目后,已经赋予子账号Allow_all权限,仍无法使用云服务器备份或裸金属服务器创建镜像怎么办?
被授权对象:请选择“账号”并填写被授权账号ID,可以在“我的凭证”中获取。 授权名称:填写被授权账号名称。 授权操作:至少需要勾选“解密数据密钥”和“查询密钥信息”,其他选项可按需选择。 单击“确定”。 父主题: 账号与权限类
FullAccess 镜像服务所有权限。 无 IMS ReadOnlyAccess 镜像服务只读权限,拥有该权限的用户仅能查看镜像服务数据。 无 表3列出了镜像服务(IMS)常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限的关系 操作 IMS FullAccess
使用备份创建镜像和使用云服务器创建镜像是否有区别? 没有区别。 创建整机镜像的方式:使用云服务器创建、使用云服务器备份创建,以及使用云备份创建。 使用备份创建镜像与使用云服务器创建镜像原理一样。云服务器创建镜像时,先为云服务器创建备份,再通过备份创建镜像,中间过程为系统自动完成的。所以二者没有区别。
通过IAM授予使用IMS的权限 创建用户并授权使用IMS IMS自定义策略
需要在统一身份认证服务中赋予子账号全局的资源查看权限,例如“Tenant Guest”后(设置Tenant Guest权限将具备其他云服务的查看权限),才能正常使用。 授权的具体操作请参见给IAM用户授权。 父主题: 账号与权限类
镜像标签 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 增加标签(OpenStack原生) PUT /v2/images/{image_id}/tags/{tag} ims:images:get ims:images:update
获取项目ID 操作场景 在调用接口的时候,部分URL中需要填入项目ID,所以需要获取到项目ID。有如下两种获取方式: 调用API获取项目ID 从控制台获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET ht
IMS自定义策略 操作场景 如果系统预置的IMS权限不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考:权限及授权项说明。 目前支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作
Administrator权限。 选择时,请勿选择“所有项目”,否则委托将不生效。 拥有以下权限:勾选“IMS Administrator”前的复选框。 图2 给委托授权 单击“确定”,完成委托的创建。 图3 新创建的委托 图4 新创建委托的权限 父主题: 账号与权限类
镜像视图 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询镜像视图(OpenStack原生) GET /v2/schemas/image 无 √ x 查询镜像列表视图(OpenStack原生) GET
镜像复制 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) Region内复制镜像 POST /v1/cloudimages/{image_id}/copy ims:images:copy ims:ser
ims:images:share √ x 获取镜像成员详情(OpenStack原生) GET /v2/images/{image_id}/members/{member_id} ims:images:get ims:images:share √ x 获取镜像成员列表(OpenStack原生)
如果回显信息中的Hypervisor vendor为KVM,说明当前云服务器为KVM虚拟化类型。请根据步骤2进一步判断是否需要优化。 图1 查看Linux云服务器虚拟化类型 确认当前系统是否包含virtio驱动。不同操作系统执行命令有所不同,请根据系统类型选择对应的命令执行。 CentOS/EulerOS系列
获取项目ID、账号ID、组织URN 操作场景 用户A将私有镜像共享给用户B之前,用户B须将自己的项目ID或者账号ID或者组织URN提供给用户A。本节指导用户B获取自己的项目ID或者账号ID或者URN。项目ID、账号ID获取请参考操作步骤,组织URN获取请参考查看组织详细信息。 基
ReadOnlyAccess”权限为例介绍为用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的IMS权限,并结合实际需求进行选择,IMS支持的系统权限,请参见:IMS权限。若您需要对除IMS之外的其他服务授权,IAM支持服务的所有权限请参见:系统权限。 示例流程
镜像配额 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 查询镜像配额 GET /v1/cloudimages/quota ims:quotas:get √ √ 父主题: 权限和授权项
必须配置default的企业项目权限,才能正常使用企业项目权限注册镜像。 ims:images:upload √ √ 导出镜像 POST /v1/cloudimages/{image_id}/file 说明: 导出镜像前请确保用户已拥有对象存储服务的Tenant Administrator权限。 ims:images:export
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
