检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为资源共享实例添加标签后,您可以根据标签快速筛选特定的资源共享实例。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > 资源访问管理”,进入“资源访问管理”页面。 单击左侧的“我的共享”,选择“共享管理”。 在列表上方的搜索框中选择待查询的标签键和标签值。 系统将自动根据标签键或标签值搜索目标资源共享实例。
括一组或多组资源、共享权限和共享对象。 共享权限 对于每种可共享的资源类型,至少有一个RAM预置的系统权限,该权限定义资源使用者对共享资源可执行的操作。每种资源类型都会有一个默认系统权限,在创建该资源的共享实例时,如果没有指定权限,则会采用默认系统权限。 共享邀请 资源所有者将资
您可以在权限库列表中查看RAM针对不同资源类型预置的所有系统权限。 对于每种可共享的资源类型,至少有一个RAM预置的系统权限,该权限定义资源使用者对共享资源可执行的操作。某些资源类型定义了多个预置的系统权限,您在创建共享时可以依据最小权限原则和不同的使用诉求,选择不同的系统权限,提升了资源访问的安全性。 操作步骤
资源访问管理”,进入“资源访问管理”页面。 单击左侧的“共享给我”,选择“共享管理”。 选择“待接受共享”页签,在列表中的“操作”列单击“接受”。 图1 接受共享邀请 在弹出的对话框中,单击“确定”。 接受资源共享实例的邀请后,您就可以访问和使用此共享资源,这些资源可直接在每个资源的管理控制台上使用。 每个
员账号创建的资源共享实例中将解绑同组织的资源使用者;组织中共享给此成员账号的资源共享实例中将解绑此成员账号。 在启用与组织共享资源期间,如果组织管理员删除某个OU,则共享给此OU的资源共享实例中将解绑此OU。 在启用与组织共享资源期间,如果删除整个组织,则与组织共享的资源共享实例中将解绑组织内的全部账号。
返回结果 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码 状态码是一组从2xx(成功)到4xx或5xx(错误)的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于检索共享资源权限列表接口,如果调用后返回状态码为“200”,则表示请求成功。
检索指定资源类型的共享资源权限列表和详细信息接口,以及获取权限的所有版本接口。 资源共享实例 包括资源共享实例的创建、检索、更新和删除接口。 绑定的资源使用者和共享资源 包括绑定、移除和检索与资源共享实例关联的资源使用者和共享资源接口。 绑定的共享资源权限 包括绑定或替换、移除和检索资源共享实例关联的共享资源权限接口。
成后,在共享的详情页添加标签。 预定义标签的使用方法请参考预定义标签的使用方法。 在创建共享时添加标签 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > 资源访问管理”,进入“资源访问管理”页面。 单击左侧的“我的共享”,选择“共享管理”。 单击页面右上角的“创建共享”
Manager,以下简称RAM)服务。RAM服务为用户提供安全的跨账号共享资源的能力,用户可以通过RAM来共享自己在云平台上的资源,实现不同账号间资源的访问共享,并且可以对共享实例进行集中式的管理。 本文档提供了资源访问管理API的描述、参数说明以及示例等内容。您可以使用本文档提供的API对RAM进行相关操作,如
并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行
支持共享的资源 表1 支持共享的云服务和资源类型 云服务 资源类型 是否支持主动退出共享 应用场景 VPC Subnet:子网 是 共享VPC功能支持多个账号在一个集中管理、共享的VPC内创建云资源,比如ECS、ELB、RDS等。VPC的所有者可以将VPC内的子网共享给一个或者多
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。 如表1所示,包括了RAM的所有系统权限。
要求的字段。例如定义消息体类型的请求头“Content-Type”,请求鉴权信息等。详细的公共请求消息头字段请参见表3。 如下公共消息头需要添加到请求中。 表3 公共请求消息头 消息头名称 描述 是否必选 Authorization 请求消息中可带的签名信息。AK/SK认证的详细说明请参见:AK/SK认证。
AK/SK签名认证方式仅支持消息体大小12MB以内,12MB以上的请求请使用Token认证。 AK/SK既可以使用永久访问密钥中的AK/SK,也可以使用临时访问密钥中的AK/SK,但使用临时访问密钥的AK/SK时需要额外携带“X-Security-Token”字段,字段值为临时访问密钥的security_token。
在事件列表页面,您还可以导出操作记录文件和刷新列表。 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 单击按钮,可以获取到事件操作记录的最新信息。 在需要查看的事件左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,
ram:resourceShares:delete × × 绑定资源使用者和共享资源 POST /v1/resource-shares/{resource_share_id}/associate ram:resourceShares:associate × × 移除资源使用者和共享资源 POST /v1/resou
附录 状态码 错误码 获取账号、IAM用户、项目、用户组、区域、委托的名称和ID
API 共享资源权限 资源共享实例 绑定的资源使用者和共享资源 绑定的共享资源权限 标签管理 共享资源 资源使用者 资源共享邀请 组织共享 其他操作
面右下角的“确认”,完成资源共享实例的创建。 图7 配置确认 共享创建完成后,RAM会向指定的使用者发送共享邀请,使用者需接受共享邀请后,才可以访问和使用被共享的资源;如果指定的使用者与您属于同一组织,且启用“启用与组织共享资源”功能,则指定的使用者无需接受邀请即可访问和使用被共享的资源。
面右下角的“确认”,完成资源共享实例的创建。 图6 配置确认 共享创建完成后,RAM会向指定的使用者发送共享邀请,使用者需接受共享邀请后,才可以访问和使用被共享的资源;如果指定的使用者与您属于同一组织,且启用“启用与组织共享资源”功能,则指定的使用者无需接受邀请即可访问和使用被共享的资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
