检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户权限 系统默认提供两种权限:用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 VPC终端节点的资源包括终端节点服务和终端节点,均属于区域级别的资源,需要在资源所在项目为用户添加权限。 VPC终端节点服务的用户权限请参见权限策略。
权限管理 如果您需要对华为云上购买的VPC Endpoint云资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权
权限管理 创建用户并授权使用VPCEP
身份认证与访问控制 IAM权限管理 VPC终端节点服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予VPCEP所需的权限,组内用户自动继承用户组的所有权限。
给用户组授权之前,请您了解用户组可以添加的VPCEP权限,并结合实际需求进行选择,VPCEP支持的系统权限,请参见VPCEP系统权限。若您需要对除VPCEP之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授权VPCEP权限流程 创建用户组并授权 在IAM控制台
点的IP地址或网段。在购买终端节点时以及购买完成后,均可以开启或关闭终端节点的访问控制功能,也可以添加或删除白名单。 购买终端节点时,如何设置访问控制和白名单,请参见购买终端节点。 本节介绍在终端节点购买完成后,如何开启并设置访问控制功能。 约束与限制 只有连接“接口”型终端节点服务的终端节点支持访问控制功能。
管理终端节点服务的连接审批 操作场景 如果您创建终端节点服务时开启了连接审批功能,则终端节点连接该终端节点服务需要进行审批,审批权由终端节点服务控制。 终端节点服务可以选择接受或拒绝终端节点的访问。 前提条件 已购买连接该终端节点服务的终端节点。 开启了终端节点服务的“连接审批”功能。 操作步骤 进入终端节点服务页面。
双端固定简介 操作场景 使用“双端固定”特性,即同时设置VPC终端节点策略与桶策略,可以对OBS的资源提供VPC粒度的权限控制。 一方面,设置VPC终端节点策略可以限制VPC中的服务器(ECS/CCE/BMS)访问OBS中的特定资源;另一方面,设置桶策略可以限定OBS中的桶被特定
步骤二:添加白名单 操作场景 终端节点服务的权限管理用于控制是否允许跨账号的终端节点连接终端节点服务,通过设置终端节点服务的白名单实现。 在终端节点服务创建完成后,可以通过权限管理设置允许连接该终端节点服务的授权账号ID,支持添加或者移除白名单中的授权账号ID。 本操作指导您获取
] } 不开启,表示不允许用户自定义策略。 约束与限制 终端节点策略是一种使用IAM policy语言的JSON策略文档,终端节点策略需满足IAM权限策略语法和结构。 为华为云云服务创建接口终端节点时,支持为单个终端节点设置策略,并且可以实时更新终端节点策略。如果用户未启用终端节点
String Allow,允许控制访问权限 Deny,拒绝控制访问权限 Action Array of strings obs访问权限 Resource Array of strings obs对象 请求示例 修改网关型终端节点策略,设置OBS访问权限和OBS对象并允许访问。 PUT
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的
管理终端节点服务的白名单 操作场景 终端节点服务的权限管理用于控制是否允许跨账号的终端节点连接终端节点服务,通过设置终端节点服务的白名单实现。 在终端节点服务创建完成后,可以通过权限管理设置允许连接该终端节点服务的授权账号ID,支持添加或者移除白名单中的授权账号ID。 如果白名单
管理终端节点的标签 权限 如果您需要对华为云上购买的云资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制
创建连接Interface类型终端节点服务的终端节点时,显示此参数。 enable_whitelist Boolean 是否开启网络ACL隔离。 true:开启网络ACL隔离 false:不开启网络ACL隔离 若未指定,则返回false。 创建连接Interface类型终端节点服务的终端节点时,显示此参数。
PolicyStatement 参数 是否必选 参数类型 描述 Effect 是 String Allow,允许控制访问权限 Deny,拒绝控制访问权限 Action 是 Array of strings obs访问权限 Resource 是 Array of strings obs对象 响应参数 状态码: 200
连接管理 操作 终端节点服务对终端节点的连接审批,可选择“接受”或“拒绝”。 权限管理 授权账号ID 连接访问终端节点的授权账号ID或者*。 若“授权账号ID”列为“*”,表示所有用户均可访问该终端节点服务。 权限管理 操作 对连接访问终端节点的授权账号进行操作,支持将授权账号从白名单中删除。
Allow,允许控制访问权限 Deny,拒绝控制访问权限 Action Array of strings obs访问权限 Resource Array of strings obs对象 请求示例 更新终端节点,设置白名单信息为192.168.1.1、192.168.1.2,开启网络ACL隔离。
创建连接Interface类型终端节点服务的终端节点时,显示此参数。 enable_whitelist Boolean 是否开启网络ACL隔离。 true:开启网络ACL隔离 false:不开启网络ACL隔离 若未指定,则返回false。 创建连接Interface类型终端节点服务的终端节点时,显示此参数。
创建连接Interface类型终端节点服务的终端节点时,显示此参数。 enable_whitelist Boolean 是否开启网络ACL隔离。 true:开启网络ACL隔离 false:不开启网络ACL隔离 若未指定,则返回false。 创建连接Interface类型终端节点服务的终端节点时,显示此参数。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
