云服务器内容精选
-
授权“操作”权限 操作权限是指仅可以操作云手机服务器及云手机,无创建及删除权限。如果您给IAM用户授予CPH“操作”权限,需要授予CPH FullAccess策略和设置拒绝“创建”授权项的自定义策略。创建自定义策略如图3所示,创建自定义策略步骤请参见:创建自定义策略。授权“操作”权限如图4所示。 自定义策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny ", "Action": [ "cph:servers:create ", "cph:servers:delete " ] } ] } 图3 操作权限自定义策略 图4 操作权限授权图
-
授权“所有”权限 如果您给IAM用户授予CPH“所有”权限,需要授予CPH FullAccess 策略、DEW KeypairFullAccess策略,并设置订单查看、订单支付、订单续费的自定义策略。创建自定义策略如图1所示,创建自定义策略步骤请参见:创建自定义策略。授权“所有”权限如图2所示。 自定义策略内容如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bss:renewal:update", "bss:balance:view", "bss:order:view", "bss:order:pay", "bss:order:update", "bss:renewal:view" ] } ] } 图1 所有权限自定义策略 图2 所有权限授权图
-
示例流程 图1 给用户授权DataArts Insight权限流程 创建用户组并授权。 在IAM控制台创建用户组,并授予DataArts Insight服务普通用户权限“DataArts Insight ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台,切换至授权区域,验证权限: 登录DataArts Insight管理控制台。如果在“数据集”页面可以查看数据集列表,但是无法创建数据集(假设当前权限仅包含DataArts Insight ReadOnlyAccess),表示“DataArts Insight ReadOnlyAccess”已生效。 在“服务列表”中选择除登录DataArts Insight外(假设当前策略仅包含DataArts Insight ReadOnlyAccess)的任一服务,如果提示权限不足,表示“DataArts Insight ReadOnlyAccess”已生效。
-
响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 url String ldap服务器的url base_dn String 数据库中的域 user_dn String 用户区别名 filter_condition String 过滤条件。保留字段,暂不支持 backup_url String ldap备节点的url schema String ldap的schema,不填写则默认为RFC2307 search_timeout String ldap搜索的超时时间,单位为秒。不填写则默认为3秒 allow_local_user String 访问ldap服务器失败后是否允许使用本地用户鉴权 状态码: 500 表4 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度:8 最大长度:36 errMsg String 错误描述 最小长度:2 最大长度:512
-
功能介绍 查询Ldap的配置。LDAP(Lightweight Directory Access Protocol),中文名称轻量级目录访问协议,是对目录服务器(Directory Server)进行访问、控制的一种标准协议。LDAP服务器可以集中式地管理用户和群组的归属关系,通过绑定LDAP服务器,当一个用户访问您的文件系统的文件时,SFS Turbo将会访问您的LDAP服务器以进行用户身份验证,并且获取用户和群组的归属关系,从而进行Linux标准的文件UGO权限的检查。要使用此功能,首先您需要搭建好LDAP服务器(当前SFS Turbo仅支持LDAP v3协议),常见提供LDAP协议访问的目录服务器实现有OpenLdap(Linux),Active Directory(Windows)等,不同目录服务器的实现细节有所差别,绑定时需要指定对应的Schema(Schema配置错误将会导致SFS Turbo无法正确获取用户以及群组信息,可能导致无权限访问文件系统内文件),当前SFS Turbo支持的Schema有: RFC2307(Openldap通常选择此Schema) MS-AD-BIS(Active Directory通常选择此Schema,支持RFC2307bis,支持嵌套的群组) SFS Turbo还支持配置主备LDAP服务器,当您的一台LDAP服务器故障无法访问后,SFS Turbo将会自动切换到备LDAP服务器访问,以免影响您的业务。同时,若您还选择将allow_local_user配置为Yes(默认为No),那么当您的LDAP服务器全部故障无法访问时,SFS Turbo将会使用您的本地用户以及群组信息,而非LDAP服务器中配置的信息进行身份验证和UGO权限检查,以最大程度减少故障影响面。
-
响应示例 状态码: 200 查询成功 { "url" : "ldap://192.168.1.1:60000", "base_dn" : "dc=huawei,dc=com", "user_dn" : "cn=admin,dc=huawei,dc=com", "backup_url" : "ldap://192.168.1.2:60000", "schema" : "RFC2307", "search_timeout" : 10, "allow_local_user" : "Yes" } 状态码: 500 错误响应 { "errCode" : "SFS.TURBO.0005", "errMsg" : "Internal server error" }
-
DMS for RabbitMQ自定义策略样例 示例1:授权用户创建实例和删除实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:create", "dms:instance:delete" ] } ] } 示例2:拒绝用户删除实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予DMS FullAccess的系统策略,但不希望用户拥有DMS FullAccess中定义的删除实例权限,您可以创建一条拒绝删除实例的自定义策略,然后同时将DMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对DMS for RabbitMQ执行除了删除实例外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }
-
配置主机购买模板 场景 委托对象 自定义策略名称 细粒度最小使用权限 配置主机购买模板 MgC MgC PurchaseTemplateAgencyPolicy iam:projects:listProjects(查询租户项目) eps:enterpriseProjects:list(查看企业项目列表) vpc:subnets:get(查询子网列表或详情) vpc:securityGroups:get(查询安全组列表或详情)
-
购买资源 场景 委托对象 自定义策略名称 细粒度最小使用权限 购买资源 MgC MgC PurchaseAgencyPolicy eps:resources:add(企业项目资源迁入) ecs:cloudServers:createServers(创建云服务器) evs:volumes:list(查询云硬盘列表) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:cloudServers:createServers(创建云服务器) vpc:publicIps:update(更新弹性公网IP) vpc:publicIps:create(创建弹性公网IP)
-
创建迁移集群 场景 委托对象 自定义策略名称 细粒度最小使用权限 创建迁移集群 OMS OMS ObsMigrationAgencyPolicy ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:deleteServers(删除云服务器) ecs:cloudServers:list(查询云服务器详情列表) nat:natGateways:create(创建NAT网关) nat:natGateways:get(查询NAT网关详情) nat:natGateways:delete(删除NAT网关) nat:snatRules:create(创建SNAT规则) nat:snatRules:get(查询SNAT规则详情) nat:dnatRules:list(查询DNAT规则列表) nat:snatRules:list(查询SNAT规则列表) nat:snatRules:delete(删除SNAT规则) nat:natGateways:list(查询NAT网关列表) vpc:securityGroups:create(创建安全组) vpc:securityGroups:delete(删除安全组) vpc:securityGroups:get(查询安全组列表或详情) vpc:securityGroupRules:create(创建安全组规则) vpc:securityGroupRules:get(查询安全组规则列表或详情) vpc:securityGroupRules:delete(删除安全组规则) vpc:securityGroups:get(查询安全组列表或详情) vpcep:epservices:create(创建终端节点服务) vpcep:epservices:get(查询终端节点服务详情) vpcep:permissions:list(查询终端节点服务的白名单列表) vpcep:connections:list(查询连接终端节点服务的连接列表) vpcep:epservices:list(查询终端节点服务列表) vpcep:epservices:delete(删除终端节点服务) vpcep:endpoints:create(创建终端节点) vpcep:endpoints:list(查询终端节点列表) vpcep:endpoints:get(查询终端节点详情) vpcep:endpoints:delete(删除终端节点) vpcep:connections:update(接受或拒绝终端节点的连接) vpcep:permissions:update(批量添加或移除终端节点服务的白名单) lts:topics:get(查询指定日志主题) lts:topics:create(创建日志主题) lts:topics:list(查询日志主题列表) lts:topics:delete(删除指定日志主题) lts:*:*(所有主机组相关的操作) lts:groups:create(创建日志组) lts:groups:get(查询指定日志组) lts:groups:delete(删除指定日志组) aom:*:*(aom的所有权限) apm:icmgr:*(apm采集组件的所有权限) ECS ECS ObsMigrationAgencyPolicy apm:icmgr:*(apm采集组件的所有权限)
-
主机迁移工作流 场景 委托对象 自定义策略名称 细粒度最小使用权限 主机迁移工作流 MgC MgC ServerMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:createServers(创建云服务器) sms:server:migrationServer(迁移源端服务器) sms:server:queryServer(查看源端服务器) ecs:cloudServers:list(查看云服务器列表) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerQuotas:get(查询租户配额) vpc:publicIps:create(创建弹性公网IP)
-
跨可用区迁移 场景 委托对象 自定义策略名称 细粒度最小使用权限 跨可用区迁移 MgC MgC AzMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:flavors:get(查询云服务器规格) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServerQuotas:get(查询租户配额) ecs:servers:list(查询云服务器列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:servers:stop(关闭云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerNics:update(云服务器网卡配置私有IP) ecs:availabilityZones:list(查询可用区列表) ecs:servers:start(启动云服务器) ecs:cloudServers:changeNetworkInterface(更新云服务器指定网卡属性) vpc:publicIps:create(创建弹性公网IP) vpc:publicIps:update(更新弹性公网IP) vpc:subnets:get(查询子网列表或详情) vpc:networks:get(查询网络列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:publicIps:get(查询弹性公网IP详情) vpc:ports:get(查询端口列表或详情) vpc:ports:delete(删除端口) vpc:ports:update(更新端口) vpc:ports:create(创建端口) evs:types:get(查询云硬盘类型) evs:volumes:list(查询云硬盘列表) cbr:vaults:get(查询指定存储) cbr:vaults:list(查询存储库列表) cbr:vaults:create(创建存储库) cbr:vaults:addResources(添加资源) cbr:vaults:backup(执行备份) cbr:backups:list(查询备份列表) cbr:tasks:list(查询任务列表) cbr:tasks:get(查询单个任务) cbr:backups:delete(删除备份) cbr:backups:get(查询指定备份) cbr:vaults:delete(删除存储库) ims:wholeImages:create(制作整机镜像) ims:images:list(查询镜像列表) ims:images:delete(删除镜像) ims:images:get(查询镜像详情) ims:serverImages:create(制作镜像)
-
数字主线引擎权限 数字主线引擎采用数字化技术,定义产品全量数据模型,打通数据孤岛联接业务数据,全关联海量业务实例数据构建全价值网络,并为各领域提供高效数据索引、追溯、交互服务。 登录数字主线引擎(LinkX Foundation,简称LinkX-F)后,基于iDME RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 数字主线引擎中内置了四类角色:企业级管理员、租户级管理员、开发人员和只读人员,这四类角色之间的关系和简要说明如下: 企业级管理员(En_ADMINISTRATOR):拥有系统操作的最高权限,并可对除自身外的其他用户进行数据权限授权。 数字主线引擎创建成功后会自动开通企业租户,即服务购买账号也是开通企业租户的账号。该账号登录数字主线引擎后,系统默认会为其配置该角色。 租户级管理员(Func_ADMINISTRATOR):由企业级管理员授权,享有授权应用租户下除“xDM-F数据同步”外的其他模块的数据操作权限,但不包含“全局用户授权”的可见可操作权限。 开发人员(Func_DEVELOPER):由企业级管理员或租户级管理员授权,享有授权应用租户下除“xDM-F数据同步”、“租户管理”和“用户权限管理”外的其他模块的数据操作权限,但不包含“全局用户授权”和“活动日志”的可见可操作权限。 只读人员(Func_READER):由企业级管理员或租户级管理员授权,享有授权应用租户的数据只读权限,但不包含“全局用户授权”和“活动日志”的可见权限。 父主题: 权限管理
-
IAM用户权限 MgC在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对账号下的IAM用户设置不同的MgC资源权限,结合权限策略实现权限隔离。 以下是使用MgC不同场景时,IAM用户需要配置的权限。为IAM用户配置权限的方法请参考创建自定义策略。 功能 权限Action 配置主机购买模板 vpc:vpcs:list(查询虚拟私有云列表) vpc:subnets:get(查询子网列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:securityGroups:get(查询安全组列表或详情) eps:enterpriseProjects:list(查看企业项目列表) ecs:availabilityZones:list(查询可用区列表) 主机迁移工作流 vpc:vpcs:list(查询虚拟私有云列表) vpc:vpcs:get(查询虚拟私有云详情) vpc:subnets:get(查询子网列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:publicIps:get(查询弹性公网IP详情) vpc:securityGroups:get(查询安全组列表或详情) vpc:securityGroups:get(查询安全组列表或详情) eps:enterpriseProjects:list(查看企业项目列表) eps:enterpriseProjects:get(查看有企业项目详情) 主机规格评估 ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:cloudServers:showServer(查询云服务器详情) ecs:flavors:get(查询云服务器规格) ims:images:list(查询镜像列表) ims:images:get(查询镜像详情) evs:volumes:list(查询云硬盘列表) evs:types:get(查询云硬盘类型) AZ迁移工作流 ecs:availabilityZones:list(查询可用区列表) 配置TCO对比产品映射 ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ims:images:list(查询镜像列表) evs:types:get(查询云硬盘类型) 存储迁移工作流 Tenant Guest(全部云服务只读权限)(除IAM权限) OMS Administrator(对象存储迁移服务所有权限) 迁移集群 Tenant Guest(全部云服务只读权限)(除IAM权限) OMS Administrator(对象存储迁移服务所有权限) nat:natGateways:list(查询NAT网关列表) smn:topic:list(主题查询权限) 委托授权 iam:agencies:listAgencies(查询指定条件下的委托列表信息) iam:roles:listRoles(查询权限列表) iam:quotas:listQuotas(查询配额) iam:permissions:listRolesForAgency(查询委托的所有权限) iam:agencies:createAgency(创建委托) iam:permissions:grantRoleToAgency(为委托授予指定权限) iam:roles:createRole(创建自定义策略) iam:roles:updateRole(修改自定义策略) 父主题: 权限管理
-
示例流程 图1 给用户授权GSL权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予全球SIM联接所有权限“GSL FullAccess”。 在创建用户组并授权时,需指定全球SIM联接所有权限“GSL FullAccess”的授权范围为所有资源。如指定为全局服务资源等授权范围时,加入该用户组中的用户通过控制台访问全球SIM联接时,将会提示权限不足。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证全球SIM联接所有权限: 在“服务列表”中,选择全球SIM联接,进入GSL总览界面,如果总览界面正常展示,表示“GSL FullAccess”已生效。 在“服务列表”中,选择除全球SIM联接外的任一服务,若提示权限不足,表示“GSL FullAccess”已生效。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
