检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击“确定”,委托创建完成。 管理员或拥有ECS权限的IAM用户为ECS实例配置委托。 若ECS实例未创建,则参考自定义购买弹性云服务器,购买并配置ECS云服务器,在高级配置过程中,单击下拉列表选择步骤1创建的委托,获取相应权限。 图5 选择委托 若ECS实例已创建,可按照如下流程配置ECS实例委托: 进入
查看角色的依赖关系 例如“DNS Administrator”,角色内容中存在“Depends”字段,表示存在依赖关系。给用户组授予“DNS Administrator”角色时,还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色,“DNS Administrator”才能生效。
FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB
"Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ],
表1 各云服务定义的敏感操作 类型 服务 敏感操作 计算 弹性云服务器(ECS) 关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP 裸金属服务器(BMS) 关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP 弹性伸缩(AS) 删除伸缩组
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
创建IAM用户 如果您是管理员,在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您需要将资源分配给企业中不同的员工或者应用程序使用,为了避免分享自己的账号密码,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户。 默认情况下,新创建的IAM用户没有任
常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限
Failed 未满足前提条件,服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息。
data=payload, verify=sslverification) 客户端解析IdP的响应。客户端提交用户信息给企业IdP系统认证,IdP认证用户信息成功后,发送响应给客户端,客户端解析出SAMLResponse参数。 Client4ShibbolethIdP脚本实现:
FullAccess和自定义策略同时授予用户,根据Deny优先原则,则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示:拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ {
使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云
权限。 给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。 设置成功后,IAM用户A登录到华为云进入“费用中心>待支付订单”,订单的操作列将不出现“支付”按钮。 图5 设置成功 图6 设置失败 父主题: 用户组及权限管理类
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。
负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器(ECS)的所有执行权限。 OBS FullAccess 对象存储服务(OBS)的所有执行权限。 ELB FullAccess 弹性负载均衡(ELB)的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations
"project": { "status": "suspended" } } 响应示例 无 返回值 返回值 描述 204 设置成功。 400 参数无效。 401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 500 内部服务错误。 503 服务不可用。
面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:敏感操作。
归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问华为云所有的云服务。 如果您在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您的团队或应用程序需要使用您在华为云中的资源,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户,并授予IA
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
