检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限和授权项 权限及授权项说明 EDS权限分类
对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用EDS服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户
EDS权限分类 表1 细化权限说明 权限 对应API接口 授权项 依赖的授权项 IAM项目 企业项目 查询指定空间实例下所有连接器 - eds:connector:list - √ × 申请开通连接器 - eds:connector:apply - √ × 创建实例 - eds:instance:create
授权日志 授权日志从新增用户、编辑用户、编辑或删除用户角色、用户授权-新增角色、用户授权-删除角色、删除用户、删除用户关联的角色等维度来记录授权的操作日志。 查看授权日志 登录交换数据空间官网。 单击“管理控制台”,进入交换数据空间控制台界面。 单击“我的空间”,在交换数据空间实
身份认证:EDS与IAM打通,对EDS数据空间,企业租户可以使用华为云用户名与密码登录,实现租户的认证与鉴权,未授权的不能访问。 访问控制:企业中的员工可以使用华为云租户下面的子用户,EDS支持在数据空间中对子用户进行角色管理,并对角色设置数据空间中的数据访问权限。 父主题: 安全
上下游数据空间:适用于上下游组织之间的数据交换,更能保证组织对数据的共享和管控。 该类型的空间允许其他租户和其名下的子用户加入,创建者和他的子用户可以与任何用户进行数据交换,其他租户只允许与创建者和他的子用户进行数据交换,其他租户间无法进行交换。 开放数据空间:同一行业的不同组织之间在保障所有权的情况下进行数据的交换,如工业、医疗和电力等行业。
作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予EDS FullAccess的系统策略,但不希望用户拥有EDS FullAccess中定义的删除交换数据空间实例的权限,您可以创建一条拒绝删除云服务的自定义策略,然后同时将EDS
提供数据交换过程中的安全保护技术能力,如数据使用策略、日志审计、数据地图等。您可以选择相应的安全策略,让数据在提供方和消费方交换过程中,按照对应策略的约束使用数据,同时EDS提供相应的日志审计能力,帮助您了解数据在交换流转中的操作过程。 您可以使用本文档提供的API对交换数据空间
支持云审计的关键操作 平台提供了云审计服务(Cloud Trace Service,简称CTS)。通过云审计服务,用户可以记录与交换数据空间相关的操作事件,便于日后的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的交换数据空间操作列表
限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对EDS服务,管理员能够控制IAM用户仅能对交换数据空间进行指定的管理操作。
权限管理 创建用户并授权使用EDS EDS自定义策略
图1 无数据目录页签 可能原因 用户的角色无查看“数据目录”页签的权限。 处理方法 联系连接器配置员或管理员,查看用户角色。 选择“连接器管理 > 用户管理”,进入用户管理界面。 在界面右上角快速查找用户名称。 单击用户“操作”列“用户授权”,查看用户角色是否具有查看“数据目录”页签权限。
元数据驱动,基于元模型设计搜索、卡片、目录,满足不同客户的个性化需求 基于EA元模型,便于开展数字身份管理,成为数字能力运营的基石 元模型支持个性化拓展,可根据企业自身实践按需拓展实体、关系、特征 多类型连接器加持,提升对海量元数据的采集力,与数据源创建广泛和深度的连接 内置丰富元数据连接器,快速采集元数据资产
支持以树形结构的形式展示业务元数据资产的五层架构,并查看数据资产的详情展示页面。 数据资产目录包括5层,分别是:L1主题域分组、L2主题域、L3业务对象、L4逻辑数据实体和L5属性。 当选定导航目录的一个实例后,可打开该实例的下一层目录,并展开该实例的详情页面。 不同层级架构的区别如表1所示。
单击“去关联”,选择租户要关联的组织。 添加访问DMAP数小二实例的成员 登录交换数据空间官网。 单击“管理控制台”,进入交换数据空间控制台界面。 在页面左侧导航栏选择“DMAP数小二”,然后选择需要添加成员的实例,单击实例卡片上的“系统设置”。 选择在为实例关联组织中绑定的DMAP数小二实例的组织,单击组织下的“成员管理”。
用户管理通过提供对用户的新增、授权、编辑功能,方便对账号下子用户的操作和管理,用户需拥有连接器管理员角色,才可以进行如下操作,且用户无法对自己的账号进行操作。 通过用户管理的相关功能,可给不同职责的用户授予合理的权限,并依据实际业务的变化随时调整权限,能够保证用户拥有必要的权限开展相应的工作,进
Multiple Choices 多种选择。请求的资源可包括多个位置,相应可返回一个资源特征与地址的列表用于用户终端(例如:浏览器)选择。 301 Moved Permanently 永久移动,请求的资源已被永久的移动到新的URI,返回信息会包括新的URI。 302 Found 资源被临时移动。
进入交换数据空间控制台界面,单击“我的空间”,在交换数据空间实例中,选择实例,单击实例卡片上的“连接器”。 然后选择连接器,单击连接器卡片上的“前往”,进入连接器控制台界面。 选择界面左侧导航栏中的“数据目录”,选择“团队数据”,进入“我的团队”页面。 在“我的团队”页面找到需要添加成员的团队卡片,在团
日志查询 操作日志 授权日志 父主题: 查证&运营
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
