检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击用户组名称,进入用户组详情页面。 图3 查看用户组 在“授权记录”页签下,勾选需要移除的权限,单击权限列表上方的“删除”。 图4 批量删除权限 在弹窗中,单击“是”,移除用户组权限。 父主题: 用户组及授权
单击需要修改权限右侧的“删除”。 图2 删除授权记录 在确认弹窗中,单击“是”,删除当前授权。 单击“授权记录”页签中的“授权”,进入给用户组授权页面。 图3 给用户组授权 在授权页面选择对应的权限、作用范围,单击“确定”,完成用户组权限修改。 单击“返回”,跳转至“用户组>授权记录”页签,确认修改后的用户组权限。
跨地域的指定资源授权案例(原多项目管理案例) 实践场景 实践步骤
IAM用户。 企业项目与IAM用户组关联授权 本节介绍在IAM控制台给用户组授予企业项目权限。通过本节,您将了解企业项目与IAM用户组关联授权的详细步骤。 管理员登录IAM控制台。 在用户组列表中,单击“项目团队A_财务”用户组右侧的“授权”。 在用户组选择策略页面中,搜索并选择“Enterprise
针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财务、退订、变更及配额。详情请参考:管理企业项目的财务信息。 父主题: 跨地域的指定资源授权案例(原多项目管理案例)
角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,
程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM时,不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOn
无法找到特定服务的权限怎么办 问题描述 管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的权限。 可能原因 要设置权限的服务不支持IAM,所以无法选择该服务的权限。IAM支持的服务请参见:使用IAM授权的云服务。 搜索的服务或权限名称不正确。 解决方法 管理员通过给对应云服
Statement Array of objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。
0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容。 表5 role.policy
删除IAM用户 请谨慎删除IAM用户,删除后该IAM用户将无法登录,该用户的IAM用户名、IAM密码、访问密钥、及其所有IAM授权关系将被清除且不可恢复。 请排查要删除的用户是否有其他服务或场景在使用,若无法确定,建议先使用"停用"功能,以免业务运行失败后无法回退。如需暂时停用I
创建OAuth 2.0凭据,在IAM控制台上创建身份提供商、配置授权信息,来建立两个系统之间的互信关系。 前提条件 企业管理员在华为云注册了可用的账号,并已在IAM中创建用户组并授权,具体方法请参见:创建用户组并授权。在华为云IAM上创建的用户组是用于与企业IdP上的用户建立映射
查询企业项目关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联用户组的权限 查询用户组关联的企业项目 查询用户直接关联的企业项目 查询企业项目直接关联用户 查询企业项目直接关联用户的权限 基于用户为企业项目授权 删除企业项目直接关联用户的权限 基于委托为企业项目授权 删除企业项目关联委托的权限
访问密钥:管理IAM用户的访问密钥,详情请参见:管理IAM用户访问密钥。 授权记录 管理员可以查看或删除IAM用户所拥有的权限。如需修改该IAM用户的权限,请参考所属用户组。 图6 IAM用户授权记录 如需查看账号下所有授权记录,请参考:查看授权记录。 删除授权记录,将删除该IAM用户所属用户组的权限,该用
区域、委托的名称和ID。 project_id 是 String 为用户组授权的项目ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请确保该项目与用户组中IAM用户待授权、使用的IAM项目一致。 说明: 如果您需要给用户组授予包含OBS操作的自
通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权,只需规划用户组,并将对应权限授予用户组,然后将用户添加至用户组中,用户就继承了用户组的权限。如果用户权限变更,只需在用户组中删除用户或将用户添加进其他用户组,实现快捷的用户授权。 区域内资源隔离 您可以通过在区域中创建子项目的
der:pay”授权项。 图3 配置不能支付订单的策略 选择“资源类型”为“所有资源”。 配置可以提交订单的策略。 选择“允许”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:update”授权项,并全选只读授权项。 图4 配置可以提交订单的策略
用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一
单击“确定”,项目列表中显示新创建的项目。 基于项目给用户组授权 以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 在用户组列表中,单击用户组右侧的“授权”,进入授权页面。 图3 权限配置 在授权页面中,勾选需要授予用户组的区域级项目权限,并单击“下一步”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
