通过IAM对多运维人员进行权限设置 方案概述 A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。 资源规划 根据A公司中员工所负责的不同职能,将员工划分为以下七个团队:
全局变量 分布式消息服务(DMS) rabbitmq RabbitMQ实例 kafka Kafka实例 rocketmq RocketMQ实例 数据仓库服务(DWS) cluster 集群 弹性云服务器(ECS) instance 弹性云服务器 云硬盘(EVS) volume 云硬盘 函
查询租户授权信息 功能介绍 该接口用于查询指定账号中的授权记录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-P
查询自定义策略列表 功能介绍 该接口可以用于管理员查询自定义策略列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-ROLE/roles
步骤1:创建身份提供商 配置联邦身份认证,需要在企业IdP通过浏览器将用户重定向到华为云OIDC身份提供商并创建OAuth 2.0凭据,在IAM控制台上创建身份提供商、配置授权信息,来建立两个系统之间的互信关系。 前提条件 企业管理员在华为云注册了可用的账号,并已在IAM中创建用
策略语法 下面以OBS的自定义策略为例,说明策略的语法。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [
查询权限列表 功能介绍 该接口可以用于管理员查询权限列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/roles 表1 Query参数
副本集主备切换 删除安全组规则 申请Shard或Config节点IP 备份恢复到当前实例 备份恢复到已有实例 包周期实例转按需计费 大数据 数据仓库服务 GaussDB(DWS) 扩容、调整大小 重启 节点修复 重置密码 MapReduce服务(MRS) 集群 删除集群 按需转包周期集群
修订记录 表1 修订记录 日期 修订记录 2022-05-30 第十八次正式发布。 新增安全章节,介绍IAM云服务的安全性。 2021-12-01 第十七次正式发布。 约束与限制新增身份提供商身份转换规则配额。 2021-11-23 第十六次正式发布。 使用IAM授权的云服务增加企业项目相关说明。
创建IAM用户 如果您是管理员,在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您需要将资源分配给企业中不同的员工或者应用程序使用,为了避免分享自己的账号密码,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户。 默认情况下,新创建的IAM用户没有任
DataArts Studio 除全局区域外的其他区域 √ √ √ √ x MapReduce服务 MRS 除全局区域外的其他区域 √ √ x √ √ 数据仓库服务 DWS 除全局区域外的其他区域 √ √ √ √ √ 表格存储服务 CloudTable 除全局区域外的其他区域 √ √ x x √
查询指定条件下的委托列表 功能介绍 该接口可以用于管理员查询指定条件下的委托列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3
创建用户组并授权 管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。IAM用户也可以为自身授予权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限
用户名密码、访问密钥和临时访问密钥进行身份认证。详见表1,每一种身份凭证,IAM都对其进行安全性设计,目的是保护用户数据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOn
2020年3月 序号 功能名称 功能描述 阶段 相关文档 1 “基于策略的访问控制”转商用 基于策略的访问控制是针对需要精细化控制权限的用户设计的一种授权方式,包括系统策略和自定义策略。 商用 策略 2020年1月 序号 功能名称 功能描述 阶段 相关文档 1 用户组授权、委托授权界面全新改版
切换到授权区域。 解决方法:IAM用户访问区域级服务时,请切换至授权区域,方法请参见:切换区域。 可能原因:管理员授予的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效。 解决方法:请IAM用户和管理员等待15-30分钟后重试。 可能原因:您所属账号已欠费,无法使用该资源。
获取联邦认证unscoped token(IdP initiated) 功能介绍 该接口可以用于通过IdP initiated的联邦认证方式获取unscoped token。 Unscoped token不能用来鉴权,若联邦用户需要使用token进行鉴权,请参考获取联邦认证scoped
构造请求 本节介绍REST API请求的组成,以调用获取IAM用户Token(使用密码)接口说明如何调用API,该API获取用户的Token,Token是用户的访问令牌,承载身份与权限信息,Token可以用于调用其他API时鉴权。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs
SP initiated方式 Openstack和Shibboleth是被广泛使用的一套开源联邦身份认证解决方案,提供了强大的单点登录能力,将用户连接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。
您即将访问非华为云网站,请注意账号财产安全