-
企业项目权限说明 管理员用户权限:可以对企业项目管理页面的所有菜单项执行任意操作。
IAM 用户权限:IAM用户的操作由管理员用户授权,登录企业项目管理页面后,仅显示管理员用户分配给IAM用户有权管理的企业项目信息,只能操作管理员用户分配的资源。若管理员用户为IAM用户设置了具体的权限策略,则IAM用户可以拥有策略内容中对应的权限。 管理员用户可以通过系统策略或自定义策略为IAM用户设置具体权限,目前与企业项目相关的策略主要包括EPS FullAccess、EPS ReadOnlyAccess和Enterprise Project BSS FullAccess。您可以通过
统一身份认证 服务给IAM用户配置企业项目相关权限,详见《统一身份认证服务用户指南》。 。 当前企业项目权限管理功能已迁移至统一身份认证服务,您可在统一身份认证服务控制台为用户、用户组进行基于企业项目的授权操作,具体请参见给IAM用户授权和创建用户组并授权。 表1 企业管理系统权限 服务名称 权限名称 权限说明 适用的典型人员 企业管理 EPS FullAccess 企业项目管理服务的所有权限,拥有该权限的用户可以创建企业项目、迁移资源、管理企业项目下资源的标签等。 企业资产管理员 EPS ReadOnlyAccess 企业项目管理服务的只读权限,拥有该权限的用户仅可以执行查询操作。 企业资产查询人员 Enterprise Project BSS FullAccess 企业项目支持的所有运营权限,具体包括以下权限: 查看企业项目资金配额的设置信息 查看和导出企业项目的消耗信息 查看企业项目资金配额的调整记录 查看企业项目的续费信息 开通/取消自动续费、手动续费、按需转包年/包月、释放资源 查看包年/包月资源的订单信息 为包年/包月资源下单 退订资源、查看资源退订记录 查看企业项目消费汇总 导出企业项目消费汇总 查看企业项目消费明细 导出企业项目消费明细 说明: 由于包年/包月产品的订单支付权限是账号级的,而Enterprise Project BSS FullAccess权限是针对IAM用户级别的,所以Enterprise Project BSS FullAccess权限不包括支付包年/包月产品的订单。 企业资产管理员 表2 常用操作与系统权限的关系 操作 EPS FullAccess EPS ReadOnlyAccess Enterprise Project BSS FullAccess 查看企业项目下资源 √ √ × 创建企业项目 √ × × 修改企业项目 √ × × 启用企业项目 √ × × 停用企业项目 √ × × 企业项目资源迁入 √ × × 企业项目资源迁出 √ × × 查看企业项目资金配额的设置信息 × × √ 查看企业项目资金配额的调整记录 × × √ 查看企业项目的续费信息 × × √ 开通/取消自动续费、手动续费、按需转包年/包月、释放资源 × × √ 查看包年/包月资源的订单信息 × × √ 为包年/包月资源下单 × × √ 退订资源、查看资源退订记录 × × √ 查看企业项目消费汇总 × × √ 导出企业项目消费汇总 × × √ 查看企业项目消费明细 × × √ 导出企业项目消费明细 × × √ 查看企业项目消耗分析 × × √ 导出企业项目消耗分析 × × √ 父主题: 权限说明
-
配置强制备份策略 通过配置强制备份策略可以达到让IAM用户强制执行数据备份的目的,能够最大限度保障用户数据的安全性和正确性,确保业务安全。 强制备份策略配置之后,可以对IAM用户做以下限制。 在创建备份策略时,备份策略必须是开启状态。 在修改备份策略时,禁止关闭备份策略。 在创建存储库时,必须绑定备份策略。 为了确保备份强制性,建议三种策略都配置上。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。 在创建备份策略时,备份策略必须是开启状态。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": ["cbr:policies:create"],
"Condition": {
"Bool": {
"cbr:EnabledPolicy": "false"
}
}
}
]
} 在修改备份策略时,禁止关闭备份策略。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": ["cbr:policies:update"],
"Condition": {
"Bool": {
"cbr:EnabledPolicy": "false"
}
}
}
]
} 在创建存储库时,必须绑定备份策略。 {
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cbr:vaults:create"
],
"Condition": {
"Null": {
"cbr:PolicyId": [
"true"
]
}
}
}
]
} 父主题: 管理权限
-
EVS自定义策略样例 示例1:授权用户创建云硬盘 {
"Version": "1.1",
"Statement": [
{
"Action": [
"evs:volumes:list",
"evs:volumes:get",
"evs:quotas:get",
"evs:volumeTags:list",
"evs:types:get",
"evs:volumes:create",
"ecs:cloudServerFlavors:get",
"ecs:cloudServers:list",
"bss:balance:view",
"bss:order:pay",
"bss:order:update"
],
"Effect": "Allow"
}
]
} 示例2:拒绝用户删除云硬盘 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予EVS FullAccess的系统策略,但不希望用户拥有EVS FullAccess中定义的删除云硬盘权限,您可以创建一条拒绝删除云硬盘的自定义策略,然后同时将EVS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对EVS执行除了删除云硬盘外的所有操作。拒绝策略示例如下: {
"Version": "1.1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"evs:volumes:delete"
]
}
]
} 示例3:授权用户创建强制加密的云硬盘 您可以添加一条自定义策略,用于限制用户只能创建加密的云硬盘。授权语句策略描述如下: {
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": [
"evs:volumes:create"
],
"Condition": {
"Bool": {
"evs:Encrypted": [
"false"
]
}
}
}
]
} 示例4:授权用户创建强制备份的云硬盘 您可以添加一条自定义策略,用于限制用户创建云硬盘时必须使用云备份功能。 如果您在创建包年/包月云硬盘时,配置了强制备份,则只能选择已有的备份存储库。 授权语句策略描述如下: {
"Version": "5.0",
"Statement": [
{
"Effect": "Deny",
"Action": [
"evs:volumes:create"
],
"Condition": {
"Null": {
"cbr:VaultId": [
"true"
]
}
}
}
]
}
-
BMS自定义策略样例 示例1:授权用户修改裸金属服务器名称。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:put" ] } ]} 示例2:授权用户批量启动服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:servers:start" ] } ]} 示例3:拒绝用户下电服务器。 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予BMS FullAccess的系统策略,但不希望用户拥有BMS FullAccess中定义的下电裸金属服务器权限(bms:servers:stop),您可以创建一条拒绝下电服务器的自定义策略,然后同时将BMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对BMS执行除了下电以外的所有操作。以下策略样例表示:拒绝用户下电裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:stop" ] } ]}
