检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则
IAM用户和企业子账号的区别 IAM用户 IAM用户是由账号在IAM中,或者企业管理 >人员管理中创建的用户,IAM用户由账号管理,权限由账号分配,使用资源产生的费用计入账号中。 如果一个企业中有多名员工需要使用账号在华为云中的资源,为了避免共享账号的密码,可以给员工创建IAM用
255。如不设置或设置为默认值意味着您的IAM用户可以从任意地方访问华为云。 允许访问的IP地址或网段 限制用户只能从设定的IP地址或网段访问华为云,例如:10.10.10.10/32。 允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpo
如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目
A账号在华为云购买了多种资源,为了专注自己的业务领域,希望将“华东-上海二”区域的VPC资源委托给B账号进行代运维。 B账号希望将A账号委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理。 如果合作关系发生变更,A账号希望随时可以修改或撤销对B账号的授权。 解决方案 针对以上企业需求,可以
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
查询联邦用户可以访问的账号列表 功能介绍 该接口用于查询联邦用户可以访问的账号列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 推荐使用查询IAM用户可以访问的账号详情,该接口可以返回相同的响应格式。 调试
IAM功能 IAM为您提供的主要功能包括:精细的权限管理、安全访问、敏感操作、通过用户组批量管理用户权限、区域内资源隔离、联合身份认证、委托其他账号或者云服务管理资源、设置安全策略。 精细的权限管理 使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。例如:
在用户组列表中,单击新建用户组右侧的“授权”。 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。 选择角色,系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的,查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administrator”,角色内容中存在“Depends”字段
云数据库(RDS) instance RDS实例 资源编排服务(RFS) privateModule 私有模块 stack 堆栈 stackSet 堆栈集 privateTemplate 私有模板 privateProvider 私有Provider 应用与数据集成平台 ROMA Connect
查询企业项目关联的用户组 查询企业项目关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联用户组的权限 查询用户组关联的企业项目 查询用户直接关联的企业项目 查询企业项目直接关联用户 查询企业项目直接关联用户的权限 基于用户为企业项目授权 删除企业项目直接关联用户的权限 基于委托为企业项目授权
请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限 设置虚拟私有云(VPC)的权限
除全局区域外的其他区域 √ √ x √ √ 云专线 DC 除全局区域外的其他区域 √ x x x x 虚拟专用网络 VPN 除全局区域外的其他区域 √ x x √ x 云连接 CC 除全局区域外的其他区域 √ x x √ √ VPC终端节点 VPCEP 除全局区域外的其他区域 √
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色
计算域运维:负责计算域运维的团队。 网络域运维:负责网络域运维的团队。 数据库运维:负责数据库运维的团队。 安全域运维:负责安全域运维的团队。 通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限。 表1
ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题: 权限管理
填写"policy"参数,即用户自定义策略的信息,用于限制获取到的临时访问密钥和securitytoken的权限(当前仅适用限制OBS服务的权限)。如果填写此参数,则临时访问密钥和securitytoken的权限为:委托具有的权限和policy参数限制的权限交集。 POST https://iam
如果华为账号与华为云账号信息(手机号码、邮件地址、账号名)一致,可继续使用原华为云账号登录;如果华为账号与华为云账号的部分信息不一致,就不能用原华为云不一致的信息登录(例如:手机号码相同,邮件地址不同时,不能用原华为云账号中的邮件地址登录)。 您从未注册过华为账号 升级后账号登录信息不变,您可继续用原手机号码、邮件地址、账号名登录。
全局条件键 类型 说明 g:SourceIp IP Address 请求用户的IP地址 g:SourceVpc String 请求用户的VPC ID g:SourceVpce String 请求用户的VPC Endpoint ID g:TagKeys String 资源标签键 g: