检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含
本文简要讲述快速完成委托细粒度授权的必要操作,更多权限内容,详情请参考权限管理。 单击“下一步”,继续完成授权。 选择上一步创建的自定义策略或者“Agent Operator”权限,单击“下一步”。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。
String 权限ID,获取方式请参见:获取权限ID。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请分别创建作用范围为全局服务、区域级项目,其他参数相同的2个自定义策略,并将2个策略同时授予用户组。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述
请确保该项目与用户组中IAM用户待授权、使用的IAM项目一致。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请使用查询指定条件下的项目列表获取名为“MOS”的项目ID,为用户组授予该项目的OBS自定义策略。 role_id 是 String 权限ID,获取方式请参见:获取权限ID。 请求参数
deleteDomain OIDC方式登录失败 domain oidcLoginFailed 注册自定义策略 Policy createRole 修改自定义策略 Policy updateRole 删除自定义策略 Policy deleteRole 用户组添加全局权限(API) assignment
如果系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例 身份凭证 身份凭证是识别用户身份的
服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含
服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含
String 权限版本号,创建自定义策略时,该字段值填为“1.1”。 说明: 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容,不超过8个。
图2 填写用户信息 表1 用户信息 参数 描述 用户名 自定义,不可与账号、或账号中其他IAM用户重复。 邮件地址 自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。 手机号 自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。
String 权限版本号,创建自定义策略时,该字段值填为“1.1”。 说明: 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容。 表6 auth
"需要替换为待授权委托的ID,需要提前向委托方获取,其他内容不需修改,直接拷贝即可。 单击“下一步”,继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。
用户组绑定的是自定义策略,该参数为创建该自定义策略用户的租户ID。 用户组绑定的是系统策略,该参数为空:null。 flag 否 String fine_grained,标识系统内置的细粒度权限Role catalog 是 String 权限所属目录。 用户组绑定的是自定义策略时,权限所属目录为“CUSTOMED”。
String 权限版本号,创建自定义策略时,该字段值填为“1.1”。 说明: 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容。 表6 auth
第四十五次正式发布。 获取自定义身份代理登录票据新增请求参数“duration_seconds”。 2021-01-21 第四十四次正式发布。 以下章节新增请求参数“page”、“per_page”,新增响应参数“total_number”: 查询权限列表 查询自定义策略列表 2020-11-09
FullAccess”,单击“下一步”。 如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。 图7 选择权限 选择权限的作用范围为指定企业项目。 图8 选择企业项目 在企业项目列表中选择“企业项目A”。
单击“下一步”。 如果系统策略不满足授权要求,可以单击权限列表右上角的“新建策略”创建自定义策略,并勾选新创建的策略来进行精细的权限控制,自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围
详情,确认已授予的权限是否有拒绝操作的语句,方法请参考策略语法。如系统权限无法满足您的场景需要,管理员可以创建自定义策略,允许该操作对应的授权项,方法请参考:创建自定义策略。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。 解决方法:管理员将IAM用户添加至用户组中,方法请参见:用户组添加用户。
IAM的管理员权限,可以对IAM执行所有操作,包括但不限于: 创建、修改、删除IAM用户。 创建、修改、删除用户组、给用户组授权。 创建、修改、删除自定义策略。 创建、修改项目。 创建、修改、删除委托。 创建、修改、删除身份提供商。 设置账号安全策略。 父主题: 密码凭证类
× √ × 删除用户组 √ × √ × 为用户组授权 √ × √ × 移除用户组权限 √ × √ × 创建自定义策略 √ × √ × 修改自定义策略 √ × √ × 删除自定义策略 √ × √ × 查询权限详情 √ × √ √ 创建委托 √ × √ × 查询委托 √ × √ √ 修改委托
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
