检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全的访问凭证。 企业项目管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,定义了允许和拒绝的访问操作,以此实现云资源权限的访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个用户组授予所需的权限,用户组内的用户自动继承用户组的所有权限。
Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 402 Payment Required 保留请求。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405
并将请求方法写在一起。这是因为URI-scheme都是HTTPS,而Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。
Web应用防火墙域名扩展包 Web应用防火墙带宽扩展包 主机安全服务 HSS 主机安全 密钥管理 KMS 密钥管理 分布式缓存服务 DCS 实例 分布式消息服务 DMS Kafka实例 RabbitMQ实例 RocketMQ实例 消息通知服务 SMN 主题 区块链服务 BCS 区块链(Hyperledger
“创建用户”,IAM用户“Murphy”创建完成。 图7 将IAM用户加入用户组 重复1~3为所有员工创建IAM用户,并将其加入相应的用户组。 创建IAM用户后,用户列表中显示新创建的用户。在用户组的“用户组管理”页面可以查看各个用户组中的IAM用户。 企业项目与IAM用户组关联授权
企业项目权限说明 管理员用户权限:可以对企业项目管理页面的所有菜单项执行任意操作。 IAM用户权限:IAM用户的操作由管理员用户授权,登录企业项目管理页面后,仅显示管理员用户分配给IAM用户有权管理的企业项目信息,只能操作管理员用户分配的资源。若管理员用户为IAM用户设置了具体的权限策
云服务权限说明 在统一身份认证服务为用户或用户组基于企业项目授予相应的云服务权限,实现基于企业项目对云服务权限的管理,目前企业项目管理支持的云服务详见企业项目管理支持的云服务, 各云服务的策略权限说明请参见系统权限。 当这些云服务与暂时不支持企业项目管理的云服务存在关联业务时,这
号权限变更的历史记录。 系统提示权限变更申请已成功发送,请等待子账号确认。 单击“完成”。 子账号接受权限变更申请 被邀请修改权限的子账号登录“我的主账号”页面,即可查看到权限变更的申请信息。 单击“接受请求”接受权限变更申请。 父主题: 变更子账号信息
en,企业管理是全局服务,因此需要使用DomainToken。 若通过AK/SK方式使用SDK,同步骤1,需要检查认证方式是否为Domain级别,AK/SK在经过API Gateway时,API Gateway会将AK/SK转成响应Token,来调用EPS服务。 检查请求企业管理
设置资源搜索条件。 设置搜索区域。 设置服务类型。 根据需求选中服务类型,下方可进一步对资源类型进行选择。 如需查看企业项目下的全部资源,请在“区域”和“服务”搜索条件中选择“全部”。 当服务选择为“EIP”时,支持查看已绑定实例。已绑定实例目前仅支持查看资源为:云服务器、负载均衡器(目前仅支持增强型)、裸金属服务器、虚拟IP地址。
单击“用户授权”。 系统将跳转至IAM的用户页面,在“用户”页签中为企业项目关联用户并授权。 具体操作方法可参考IAM帮助文档:给IAM用户授权。 图2 用户授权 其他操作 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添
求将基于企业项目管理服务提出解决方案。如需了解更多IAM项目和企业项目的区别,请参见:IAM项目和企业项目的区别。 针对需求2:A公司需要配合使用企业项目管理服务和统一身份认证服务,在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添加至需求1创建的
源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的云服务请参见支持的云服务。 检查规则 用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下:
企业主账号未申请查看企业子账号信息权限。 授予IAM用户Agent Operator权限 登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 在统一身份认证服务,左侧导航菜单中,单击“用户组”。 在用户组列表中,单击IAM用户所在用户组右侧的“权限配置”。
管理组织策略 客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。 注意事项 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
系统进入企业项目详情页面,在“权限管理”页签中单击“用户组授权”。 系统将跳转至IAM的用户组页面,在“用户组”页签中为企业项目关联用户组并授权。 具体操作方法可参考IAM帮助文档:创建用户组并授权。 图2 用户组授权 父主题: 如何管理企业项目用户组
管理组织策略 客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。 注意事项 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
创建企业项目。 调用方法 请参见如何调用API。 URI POST /v1.0/enterprise-projects 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。说明:由于EPS是全局服务,因此调用I
组下的用户完成所有初始资源的订购。后面再由其他具备权限的用户组成员针对某类资源执行扩容、修改、启停等操作,如由计算管理组成员对云主机进行弹性伸缩设置、创建镜像、开关机等操作。 订购云资源时,需要选择将资源放入对应的VPC和子网。以企业项目“A1生产”为例,申购的ECS云主机时将其
策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权