检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
关于IAM身份代理定义的条件键的详细信息请参见条件(Condition)。 您可以在策略语句的Action元素中指定以下IAM身份代理的相关操作。
list publicip * - - g:EnterpriseProjectId eip:publicIps:count 授予查询弹性公网IP数量的权限。 list publicip * - eip:publicIps:get 授予查询指定弹性公网IP的权限。
write ipgroup * - ga:ipgroup:delete 授予删除IP地址组权限。 write ipgroup * - ga:ipgroup:addIps 授予为IP地址组批量添加IP权限。
/bind gaussdbformysql:instance:bindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/public-ips/unbind gaussdbformysql:instance:unbindPublicIp
/transit-ips/{transit_ip_id} nat:privateNatTransitIps:delete - GET /v3/{project_id}/private-nat/transit-ips/{transit_ip_id} nat:privateNatTransitIps
write zone * g:ResourceTag/<tag-key> g:EnterpriseProjectId dns:zone:setProxyPattern 授予设置内网域名递归解析代理的权限。
/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline
/v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips
表2 请求Body参数 参数 是否必选 参数类型 描述 service_principal 是 String 服务主体名称。
write - - rds:instance:modifyPublicAccess 授予绑定和解绑弹性公网IP的权限。 write - - rds:instance:modifyProxy 授予开启/关闭数据库代理的权限。
表2 请求Body参数 参数 是否必选 参数类型 描述 service_principal 是 String 服务主体名称。
cfw:<region>:<account-id>:ipGroup:<ipGroup-id> eip cfw:<region>:<account-id>:eip:<eip-id> 条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。
list - - cnad:protectedIp:create 授予绑定防护IP到实例的权限。 write - - cnad:protectedIp:list 授予查询防护IP列表的权限。
read cluster * g:EnterpriseProjectId g:ResourceTag/<tag-key> css:cluster:getAgencies 授予权限获取代理。 read - - css:cluster:modifyRoute 授予权限修改集群路由。
list ip * - anti-ddos:ip:listDefenseStatuses 授予查询EIP防护状态列表权限。 list ip * - anti-ddos:ip:getWeeklyReport 授予查询周防护统计情况权限。
图3 混淆代理 由于委托/信任委托X的名字并非保密内容,如果攻击者(Account D)获取到了委托名并以同样的方式触发Service A,则其活动记录会被错误地记录在用户的OBS桶里。
waf:ipgroup:create - DELETE /v1/{project_id}/waf/ip-group/{id} waf:ipgroup:delete - GET /v1/{project_id}/waf/ip-groups waf:ipgroup:list - GET
IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理 AOM 云监控服务 CES IAM身份代理
407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突,请求无法被完成。
write mrs:<region>:<account-id>:cluster:<cluster-id> mrs:cluster:getAgencyMapping 授予权限以获取用户代理信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
