检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有的权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度
IAM.Agency 模型说明 IAM.Agency用于在IAM上创建委托,指定委托账号及对应的权限,委托账号的管理员为用户分配Agent Operator权限后,委托账号的用户即可管理您的资源。 模型属性 表1 模型定义属性说明 属性 是否必选 描述 trustDomainName
描述 projectId 否 string 委托的项目Id 使用建议:如果想委托多个项目的权限,Id用逗号隔开。如果想全局委托权限,不用填写该字段。 roleId 是 string 委托权限角色Id,多个id用逗号隔开 父主题: 数据结构
Hook) 创建一个带有初始默认版本的私有hook,创建私有hook的时候需要同时创建一个初始化的默认版本,不允许空私有hook的创建。 设置配置(Configuration)后的私有hook才会在触发资源栈部署时生效,资源栈使用私有hook的默认版本。若创建私有hook时未指定
约束与限制 权限 资源编排需要创建委托权限。 配额 资源编排对单个用户资源栈数量限定了配额,如下表所示。 如果您需要添加更多的模板或创建更多的资源栈,请提交工单申请。配额的详细信息请参见关于配额。 资源类型 限制项 限制值 模板 每个华为云账号允许创建的最大模板个数 100 模板名最大长度
委托授权 可以筛选具体权限授权给委托 图4 选择策略 具体授权给委托哪些详细权限需要用户自己决定(华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托)最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限(包括读写操作) 设置授权范围可以选择所有资源或选择定义region进行授权
进入选择模板操作界面图2,在模板操作界面提供以下信息。确认信息无误单击下一步执行。 权限委托: 选择权限:“自主服务权限” 管理委托名称:资源编排服务使用该委托获取成员账号委托给管理账号的权限。该委托中必须含有iam:tokens:assume权限,用以后续获取被管理委托凭证。如果不包含,则会在新增或者部署实例时报错。
过IAM权限控制。 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助RFS服务安全地控制访问权限。通过IAM,可以将用户加入到一个用户组中,并用策略来控制他们对RFS资源的访问范围。IAM权限可以通过
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
创建私有hook版本(CreatePrivateHookVersion) 创建私有hook版本,创建私有hook版本后需要调用UpdatePrivateHook API设置为默认版本才能生效。 版本号遵循语义化版本号(Semantic Version),为用户自定义。 若hook_name和hook_id同时
使用资源栈集 要为创建具有服务托管的资源栈集设置必要的权限。 您需要先通过在各个账户中创建IAM角色以在管理员和目标账户之间建立信任关系,然后才能创建具有自助服务权限的资源栈集。 确定哪个华为云账户是管理员账户。 资源栈集是在该管理员账户中创建的。目标账户是在其中创建属于资源栈集的各个堆栈的账户。
public-read-write 表2 OBS预定义的权限控制策略 预定义的权限控制策略 描述 private 桶或对象的所有者拥有完全控制的权限,其他任何人都没有访问权限。 public-read 桶或对象的所有者拥有完全控制的权限,其他所有用户包括匿名用户拥有读的权限。 public-read-write
当执行计划状态为AVAILABLE时,可以通过GetExecutionPlan获取本次执行计划的结果 执行计划不会做过多深层的检查和校验,如用户是否有权限生成、修改资源等 注意: 创建执行计划时,指定的资源栈必须存在。如果指定的资源栈不存在,则返回404,用户可通过调用创建资源栈(CreateStack)API来创建资源栈。
RFS仅在创建资源栈(触发部署)、创建执行计划、部署资源栈、删除资源栈等涉及资源操作的请求中使用委托,且该委托仅作用于与之绑定的Provider对资源的操作中。如果委托中提供的权限不足,有可能导致相关资源操作失败。 创建委托及授权方式 description 否 String 资源栈的描述。可用于客户识别自己的资源栈。
请谨慎操作,删除资源栈将默认删除与该资源栈相关的所有数据,如:执行计划、资源栈事件、资源栈输出、资源等。 **如果希望删除资源栈保留资源,可以在请求中设置retain_all_resources对资源进行保留。 此API会触发删除资源栈,并以最终一致性删除数据,用户可以调用GetStackM
permission_model String 权限模型,定义了RFS操作资源栈集时所需委托的创建方式,枚举值,默认为SELF_MANAGED。用户可以使用创建资源栈集(CreateStackSet)API 指定该参数。该参数暂不支持更新。用户如果想要更新权限模型,可以通过先删除再创建同名资源栈集实现。
在目标账户中创建资源栈。 资源栈集的权限模型 自助服务权限:使用自助服务权限时,您将创建资源栈集需要的IAM角色来跨账户和区域进行部署。对于在您管理资源栈集所用的账户与您将资源栈部署到的账户之间建立信任关系,这些角色是必需的。使用此权限模型,资源栈集可以部署到您有权创建 IAM 角色的任何华为云账户中。
注意:vars_structure中默认不应该含有任何敏感信息,资源编排服务会直接明文使用、log、展示、存储对应的vars。如为敏感信息,建议设置encryption字段开启加密 vars_body String HCL参数文件的内容。HCL模板支持参数传入,即,同一个模板可以给予不同的参数而达到不同的效果。
API中,如果该参数未在RequestBody中给予,则不会对资源栈的自动回滚属性进行更新 该属性与使用模板导入资源功能互斥,如果堆栈的自动回滚设置为true,则不允许部署包含导入资源的模板 agencies 否 Array of Agency objects 委托授权的信息。 RFS
会直接明文使用、log、展示、存储对应的template_body。如为敏感信息,建议将敏感信息通过vars_structure参数化,并设置encryption字段开启加密 template_uri 否 String HCL模板的OBS地址,该模板描述了资源的目标状态。资源编排
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
