检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,限制账号内用户的操作。IAM
使用SCP控制成员账号的权限 操作场景 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或O
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度
ecs:ImageSupportAgentType ecs:ImageType ecs:OsVersion ecs:OsType ecs:ImagePlatform ecs:cloudServers:deleteServers 授予删除ECS云服务器的权限。 write instance * - ecs:cloudServers:resize
权限和授权项 权限及授权项说明 授权项
权限管理 如果您要为管理账号中不同的用户,根据职能设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
er:getPreview 授予查询访问分析预览的权限。 read analyzer * g:ResourceTag/<tag-key> AccessAnalyzer:analyzer:listPreviews 授予查询访问分析预览列表的权限。 list analyzer * g
ents 授予查询裸金属服务器网卡的权限。 read instance* g:EnterpriseProjectId g:ResourceTag/<tag-key> bms:servers:resetServerPwd 授予一键重置裸金属服务器密码的权限。 write instance*
RAM支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 ram:permissions:list 授予列出RAM权限的权限。 list permission * - ram:permissions:get 授予获取RAM权限内容的权限。 read permission
权限管理 创建IAM用户并授权管理组织 自定义策略
ns云服务权限,并结合实际需求进行选择,Organizations云服务支持的系统权限,请参见:权限管理。 若您需要对除Organizations云服务之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权
授权项 组织管理 权限 对应API接口 授权项(Action) IAM项目(Project) 企业项目(Enterprise Project) 创建组织 POST /v1/organizations organizations:organizations:create iam:a
注册作为服务委托管理员 功能介绍 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
workspace:desktopAssociate:listDiscoverVmInfo 授予查询可纳管的虚拟机列表的权限。 list - - workspace:desktopAssociate:startTask 授予启动纳管虚拟机任务的权限。 write - - workspace:desktopAssociate:switchScanTask
csms:KmsKeyId string 单值 根据KMS密钥ID筛选访问权限。 csms:VersionId string 单值 根据凭据版本ID筛选访问权限。 csms:VersionStage string 单值 根据凭据版本状态筛选访问权限。 csms:RecoveryWindowInDays
sms:server:batchDelete ecs:cloudServers:showServer ecs:cloudServers:attach evs:volumes:use ecs:cloudServers:stop ecs:cloudServers:start ecs:cloudServers:detachVolume
g:EnterpriseProjectId elb:pools:show 授予获取后端服务器组详情的权限。 read pool * g:EnterpriseProjectId elb:pools:create 授予创建后端服务器组的权限。 write loadbalancer g:EnterpriseProjectId
自定义策略 如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏
HSS支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 hss:host:addHostsGroup 授予权限以创建服务器组。 write host * g:EnterpriseProjectId hss:ars:addPWLPolicyHost 授予权限以进行白名单策略添加主机。
授予创建弹性伸缩配置的权限。 write - as:EcsInstanceId as:EcsInstanceType as:EcsFlavorId as:ImageId as:ImsDiskImageId as:CbrDiskSnapshotId as:EcsServerGroupId
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
