检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全的访问凭证。 企业项目管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,定义了允许和拒绝的访问操作,以此实现云资源权限的访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个用户组授予所需的权限,用户组内的用户自动继承用户组的所有权限。
的配置方法主要分为以下两种: 在统一身份认证服务中为用户组添加云服务系统策略,具体操作请参见创建用户组并授权。 如果系统策略不满足授权要求,您还可以在统一身份认证服务中创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充,具体操作请参见创建自定义策略。
组下的用户完成所有初始资源的订购。后面再由其他具备权限的用户组成员针对某类资源执行扩容、修改、启停等操作,如由计算管理组成员对云主机进行弹性伸缩设置、创建镜像、开关机等操作。 订购云资源时,需要选择将资源放入对应的VPC和子网。以企业项目“A1生产”为例,申购的ECS云主机时将其
表1 企业项目当前支持的资源 云服务 资源类型 云专线 DC 物理连接 虚拟网关 虚拟接口 链路聚合组 弹性云服务器 ECS 弹性云服务器 裸金属服务器 BMS 裸金属服务器 弹性伸缩 AS 弹性伸缩组 镜像服务 IMS 私有镜像 专属主机 DeH 专属主机 函数工作流 FunctionGraph
使用IAM授权的云服务。 企业管理目前支持的云服务请参见支持的云服务。 检查规则 用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下: 图1 请求鉴权逻辑图 用户发起访问请求。 系统在用户被授予的访问策略中,优先寻找基于IAM项目授权的策略,在策略中寻找请求对应的action。
Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 402 Payment Required 保留请求。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405
HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的
影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是,如果您有基于企业项目范围的授权策略,则资源所属企业项目发生变更,可能会导致用户对资源访问权限的变更。例如:您给项目A的成员授予企业项目A范围的操作权限,此时成员可以访问企业项目A内的资源。 当资
如何获取企业项目ID 通过调用接口获取。 可通过调用企业项目管理的查询企业项目列表接口获取。 通过在企业项目详情页查询获取。操作步骤如下: 登录华为云控制台。 单击页面右上方的“企业 > 项目管理”。 分辨率低的情况下单击页面右上方的“更多 > 企业 > 项目管理”。 在企业项目管
户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。 为企业项目关联用户组并授权:将用户组与企业项目关联,并为其设置一定的权限策略,该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限。 为企业项目关联用户并授权:将用户与企业项目关联,并为其设置
企业项目发生变化可能会影响其关联的用户的权限,但其下的资源所关联的VPC和网段不会变化。 资源从一个企业项目迁移到另一个企业项目,不会影响资源本身。例如:资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是,如果您有基于企业项目范围的授权策略,则资源所属企业项目发生变更,可能会导致用户对资源访
如需查看企业项目下的全部资源,请在“区域”和“服务”搜索条件中选择“全部”。 当服务选择为“EIP”时,支持查看已绑定实例。已绑定实例目前仅支持查看资源为:云服务器、负载均衡器(目前仅支持增强型)、裸金属服务器、虚拟IP地址。 单击“搜索”,页面下方列表展示筛选后的所有资源。 导出企业项目下的资源信息
企业主账号未申请查看企业子账号信息权限。 授予IAM用户Agent Operator权限 登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 在统一身份认证服务,左侧导航菜单中,单击“用户组”。 在用户组列表中,单击IAM用户所在用户组右侧的“权限配置”。
管理组织策略 客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。 注意事项 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
管理组织策略 客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。 注意事项 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
在左侧导航窗格中,单击“用户组”。 在用户组列表中,单击新建的用户组“Test_ECS_A”右侧的“用户组管理”。 图1 用户组管理 在“可选用户”中选择需要添加至用户组中的用户。 图2 为用户组添加用户 单击“确定”,完成添加。 父主题: 快速入门
企业主账号创建企业子账号用在什么场景?创建的企业子账号实名信息是什么? 企业主账号创建企业子账号适用于快速为同一企业内部多个部门或多个业务创建账号的情形,新建子账号的实名认证信息同企业客户主账号,不需要再次实名认证。 父主题: 公共
“创建用户”,IAM用户“Murphy”创建完成。 图7 将IAM用户加入用户组 重复1~3为所有员工创建IAM用户,并将其加入相应的用户组。 创建IAM用户后,用户列表中显示新创建的用户。在用户组的“用户组管理”页面可以查看各个用户组中的IAM用户。 企业项目与IAM用户组关联授权
份认证服务,在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组,再将用户组添加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。
通过页面右上方的“创建资源”或“网络规划”入口,为该企业项目添加需要的云资源。 图2 在企业项目中创建资源 “创建资源”仅支持常用的四种云资源购买入口:弹性云服务器 ECS、云硬盘 EVS、弹性公网IP EIP、数据库 RDS。 “网络规划”中提供三种云资源购买入口:虚拟私有云 VPC、对等连接 VPC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
