检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图2 填写用户信息 表1 用户信息 参数 描述 用户名 自定义,不可与账号、或账号中其他IAM用户重复。 邮件地址 自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。 手机号 自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。
委托方获取,其他内容不需修改,直接拷贝即可。 单击“下一步”,继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。
步骤3:配置身份转换规则 企业IdP用户登录华为云后,华为云会根据身份转换规则,决定联邦用户的身份和拥有的权限。身份转换规则需要用户根据自身场景自定义,若不对身份转换规则进行配置,则联邦用户在华为云中的用户名默认为“FederationUser”,权限默认仅能访问华为云,没有其他任何权限。
详情,确认已授予的权限是否有拒绝操作的语句,方法请参考策略语法。如系统权限无法满足您的场景需要,管理员可以创建自定义策略,允许该操作对应的授权项,方法请参考:创建自定义策略。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。 解决方法:管理员将IAM用户添加至用户组中,方法请参见:用户组添加用户。
AM控制台为其授予权限。授权后,用户即可根据权限使用账号中的云服务资源。 约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。
设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限 设置虚拟私有云(VPC)的权限 设置分布式缓存服务(DCS)的权限
TS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后
也可以为自身授予权限。这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能
的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,为了配合其他区域级云服务的API/CLI访问,IAM在其他区
服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含
FullAccess”,单击“下一步”。 如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。 图8 选择权限 选择权限的作用范围为指定企业项目。 图9 选择企业项目 在企业项目列表中选择“企业项目A”。
服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 当自定义策略为委托自定义策略时,该字段值为: "Action": ["iam:agencies:assume"]。 Effect String 作用。包含
√ √ x √ 专属主机 DeH 除全局区域外的其他区域 √ x x √ √ 存储 服务 所属区域 控制台 API 委托 策略 企业项目 云硬盘 EVS 除全局区域外的其他区域 √ √ x √ √ 存储容灾服务 SDRS 除全局区域外的其他区域 √ √ x x x 云服务器备份 CSBS
String 权限版本号,创建自定义策略时,该字段值填为“1.1”。 说明: 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容,不超过8个。
委托方获取,其他内容不需修改,直接拷贝即可。 单击“下一步”,继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”,或者“Agent Operator”权限。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。
String 权限版本号,创建自定义策略时,该字段值填为“1.1”。 说明: 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement 是 Array of objects 授权语句,描述自定义策略的具体内容。 表6 auth
API Token管理 访问密钥管理 区域管理 项目管理 账号管理 IAM用户管理 用户组管理 权限管理 自定义策略管理 委托管理 企业项目管理 安全设置 联邦身份认证管理 自定义身份代理 版本信息管理 服务和终端节点
IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略,限
否 Array of strings 输入属性值中包含指定值才生效,并返回布尔值,返回值不能用于local块中的占位符。在同一个remote数组元素中,any_one_of与not_any_of互斥,两者至多填写一个,不能同时填写。 not_any_of 否 Array of strings
该接口可以用于管理员为用户组授予所有项目服务权限。 自定义策略管理 接口 说明 查询自定义策略列表 该接口可以用于管理员查询自定义策略列表。 查询自定义策略详情 该接口可以用于管理员查询自定义策略详情。 创建云服务自定义策略 该接口可以用于管理员创建云服务自定义策略。 创建委托自定义策略 该接口可以用于管理员创建委托自定义策略。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
