检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度
权限和授权项 权限及授权项说明 基于角色授权的服务授权项 企业路由器 VPC连接 其他连接 路由表 关联 传播 路由 流日志 标签 配额管理
权限管理 如果您需要对华为云上购买的ER资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能
通过IAM授予使用ER的权限 创建用户并授权使用ER ER自定义策略
创建VPC和ECS 操作场景 本章节指导用户创建虚拟私有云VPC和弹性云服务器ECS。 操作步骤 在区域A内,创建4个VPC和3个ECS。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建ECS,具体方法请参见自定义购买ECS。 本示例中的VPC和子网资源规划详情请参见表8。
身份认证与访问控制 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助用户安全地控制云服务和资源的访问权限。 企业路由器支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,IAM权限定义了允许
验证网络互通情况 登录弹性云服务器。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 在弹性云服务器的远程登录窗口,执行以下步骤,验证网络情况。 执行以下命令,验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-bus
给用户组授权之前,请您了解用户组可以添加的ER权限,并结合实际需求进行选择,企业路由器支持的系统权限,请参见:权限管理。 若您需要对除ER之外的其它服务授权,IAM支持服务的所有权限请参见权限策略。 示例流程 图1 给用户授予ER权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予企业路由器只读权限“ER ReadOnlyAccess”。
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:
VPC连接 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建VPC连接 POST /v3/{project_id}/enterprise-router/{er_id}/vpc-attachments
传播 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建传播 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route
企业路由器 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建企业路由器 POST /v3/{project_id}/enterprise-router/instances er:instances:create
其他连接 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 更新连接基本信息 PUT /v3/{project_id}/enterprise-router/{er_id}/attachments/{attachment_id}
流日志 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建流日志 POST /v3/{project_id}/enterprise-router/{er_id}/flow-logs er:flowlogs:create
路由表 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建路由表 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables er:routeTables:create
路由 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建静态路由 POST /v3/{project_id}/enterprise-router/route-tables/{route_table_id}/static-routes
关联 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 创建关联 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route
标签 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 查询项目标签 GET /v3/{project_id}/{resource_type}/tags er:tags:list √ √ 查询资源标签
配额管理 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 查询配额 GET /v3/{project_id}/enterprise-router/quotas er:quotas:list √ √ 父主题:
规划组网和资源,包括资源数量及网段信息等。 2 创建资源 创建企业路由器:创建1个企业路由器,构建一个同区域组网只需要1个企业路由器。 创建VPC和ECS:创建4个虚拟私有云VPC和3个弹性云服务器ECS,其中一个VPC用来创建NAT网关实例。 创建EIP和公网NAT网关:创建弹性公网IP,基于一个独立的VPC创建公网NAT网关。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
