云服务器内容精选
-
示例流程 图1 给用户授予组织管理权限流程 创建用户组并授权 在 IAM 控制台创建用户组,授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 使用新创建的用户登录控制台,能正常进入组织服务并可查看组织的相关信息,然后尝试添加组织单元报错,报错信息提示“权限不足,请联系管理员处理”,表示“Organizations ReadOnlyAccess”已生效,您只有组织的查看权限。
-
设计服务权限 设计服务提供应用管理功能,在应用管理页面,可管理iDME的所有应用,包括创建应用、删除、进入应用设计态开发应用等操作。 进入应用设计态后,基于iDME RBAC(Role-Based Access Control,基于角色的访问控制)能力的授权,通过权限设置给不同职责的IAM用户授予合理的角色来实现精细的权限管理。应用设计态内置了三类角色:应用责任人、应用开发人员和应用只读成员,这三类角色之间的关系和简要说明如下: 应用责任人:拥有应用设计态的全部权限。在iDME控制台,具有“DME AppOperationAccess”策略权限的用户可以授予用户应用权限,可以对某一个应用或全部应用授权。 应用开发人员:拥有应用设计态的开发权限。进入应用设计态,应用责任人可以定义用户和该角色的关系。 应用只读成员:拥有应用设计态的只读权限。进入应用设计态,应用责任人可以定义用户和该角色的关系。 表1 首页 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 数据看板 查询 √ √ √ 表2 我的工作空间 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 我的导出任务 查询 √ √ √ 我的导出任务 下载导出文件 √ √ √ 我的导入任务 查询 √ √ × 我的导入任务 下载导入文件 √ √ × 表3 数据模型管理-1 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 数据实体 查询 √ √ √ 数据实体 查看详情页面 √ √ √ 数据实体 创建 √ √ × 数据实体 删除 √ √ × 数据实体 编辑 √ √ × 数据实体 发布 √ √ × 数据实体 作废 √ √ × 数据实体 导入 √ √ × 数据实体 导出 √ √ √ 数据实体 添加标签 √ √ × 数据实体 清除标签 √ √ × 关系实体 查询 √ √ √ 关系实体 查看详情页面 √ √ √ 关系实体 创建 √ √ × 关系实体 删除 √ √ × 关系实体 编辑 √ √ × 关系实体 发布 √ √ × 关系实体 作废 √ √ × 关系实体 导入 √ √ × 关系实体 导出 √ √ √ 关系实体 添加标签 √ √ × 关系实体 清除标签 √ √ × 表4 数据模型管理-2 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 接口模型 查询 √ √ √ 接口模型 查看详情页面 √ √ √ 接口模型 创建 √ √ × 接口模型 删除 √ √ × 接口模型 编辑 √ √ × 接口模型 发布 √ √ × 接口模型 作废 √ √ × 数据模型图谱 查询 √ √ √ 数据模型图谱 保存位置 √ √ × 数据模型图谱 重置位置 √ √ × 数据模型图谱 刷新图谱 √ √ √ 反向建模 创建数据源 √ √ × 反向建模 删除数据源 √ √ × 反向建模 编辑数据源 √ √ × 反向建模 查看数据源信息 √ √ √ 反向建模 建模 √ √ × 反向建模 删除建模 √ √ × 反向建模 编辑建模 √ √ × 反向建模 查看物理表/模型信息 √ √ √ 反向建模 查询模型 √ √ √ 表5 基础数据管理 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 枚举类型 查询 √ √ √ 枚举类型 查看详情页面 √ √ √ 枚举类型 创建 √ √ × 枚举类型 编辑 √ √ × 枚举类型 删除 √ √ × 枚举类型 导入 √ √ × 枚举类型 导出 √ √ √ 表6 数据服务管理 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 全量数据服务 查询 √ √ √ 全量数据服务 查看详情页面 √ √ √ 全量数据服务 刷新 √ √ √ 查询条件转换工具 查询 √ √ √ 表7 应用中心 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 用户管理 查看 √ √ √ 用户管理 编辑 √ × × 应用发布/历史 刷新 √ √ √ 应用发布/历史 下载最新代码 √ √ × 应用发布/历史 下载最新JAR包 √ √ × 应用发布/历史 查看详情页面 √ √ √ 应用同步 查询 √ √ √ 应用同步 查看详情页面 √ √ √ 应用同步 创建 √ √ × 应用同步 启动 √ √ × 应用同步 删除 √ √ × 应用同步 编辑 √ √ × 表8 系统管理 二级菜单 功能 应用责任人 应用开发人员 应用只读成员 API维护 查看API列表 √ √ √ 主服务标签 查询 √ √ √ 主服务标签 查看详情页面 √ √ × 主服务标签 创建 √ √ × 主服务标签 编辑 √ √ × 主服务标签 删除 √ √ × 父主题: 权限管理
-
前提条件 给用户组授权之前,请您了解用户组可以添加的CFW权限,并结合实际需求进行选择,CFW支持的系统权限如表1所示。若您需要对除CFW之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙 服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无
-
示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予CFW只读权限“CFW ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云防火墙,进入CFW主界面,单击“购买云防火墙”,尝试购买云防火墙,如果无法购买云防火墙(假设当前权限仅包含CFW FullAccess),表示“CFW FullAccess”已生效。 在“服务列表”中选择除CFW外(假设当前策略仅包含“CFW FullAccess”)的任一服务,若提示权限不足,表示“CFW FullAccess”已生效。
-
示例流程 图1 给用户授予SWR权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 容器镜像服务 的管理员权限“SWR Administrator”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限(如果能顺利完成如下操作,说明权限设置成功): 在“服务列表”中选择容器 镜像服务 ,进入SWR主界面。 在左侧导航栏选择“组织管理”,单击右上角“创建组织”,输入组织名称,能够成功创建组织。 在左侧导航栏选择“我的镜像”,单击右上角“页面上传”,选择上一步创建的组织,以及一个本地的镜像文件,能够成功上传镜像。
-
SWR资源 资源是服务中存在的对象。在SWR中,资源包括:组织、镜像,您可以在创建策略时,通过指定资源路径来选择特定资源。 表1 SWR的指定资源与对应路径 指定资源 资源路径 namespace 【格式】 swr:*:*:namespace:组织名称 【说明】 对于组织资源,IAM自动生成资源路径前缀SWR:*:*:namespace: 通过组织名称指定具体的资源路径,支持通配符*。例如: swr:*:*:namespace:*表示任意组织。 repo 【格式】 swr:*:*:repo:镜像仓库名称 【说明】 对于镜像仓库资源,IAM自动生成资源路径前缀SWR:*:*:repo: 通过镜像仓库名称指定具体的资源路径,支持通配符*。例如: SWR:*:*:repo:*表示任意镜像仓库。 例1:只允许用户查询镜像仓库概要信息,则可以通过如下方式配置。 { "Version": "5.0" "Statement": [ { "Effect": "Allow", "Action": [ "swr:repo:getRepo" ], "Resource": [ "swr:*:*:repo:*" ] } ] } 例2:比如说要把cn-north-4下组织source下的镜像test,同步到cn-north-7的组织target下,那么用户需要有cn-north-4创建自动镜像同步任务的权限、要同步的镜像的下载权限,cn-north-4和cn-north-7的获取临时登录指令的权限,以及cn-north-7目前组织的镜像推送权限: { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "swr:repo:createAutoSyncRepoJob", "swr:repo:download" ], "Resource": [ "swr:cn-north-4:*:repo:source/test" ] }, { "Effect": "Allow", "Action": [ "swr:repo:upload" ], "Resource": [ "swr:cn-north-7:*:repo:target" ] }, { "Effect": "Allow", "Action": [ "swr::createLoginSecret" ] } ] }
-
自定义策略样例 示例1:授权用户创建 GaussDB 实例 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["gaussdb:instance:create"] }] } 示例2:拒绝用户删除GaussDB实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果给用户授予GaussDB FullAccess的系统策略,但不希望用户拥有GaussDB FullAccess中定义的删除GaussDB实例权限,可以创建一条拒绝删除云服务的自定义策略,同时将GaussDB FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对GaussDB实例执行除了删除GaussDB实例外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [{ "Action": ["gaussdb:instance:delete"], "Effect": "Deny" }] }
-
管理员:IAM授权 Tenant Administrator管理员按照图3方式为各个职能团队进行IAM授权,即:先创建四个用户组,分别为这些用户组授予U CS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess权限,然后为各个用户组添加用户。 图3 IAM授权方式 例如:为开发团队创建用户组dev,授予UCS CommonOperations权限,并添加devuser1、devuser2两个用户。 图4 授权记录 图5 用户管理 详细的操作指导请参见UCS服务资源权限(IAM授权)。需要注意的是,UCS的一些功能依赖其他云服务实现,在使用这些功能时,还需要授予其他云服务的权限。例如,创建权限时需要获取IAM用户列表,因此,为行管团队授予UCS FullAccess权限的同时还需授予VDC ReadOnlyAccess权限。更多依赖关系请参见UCS功能所需的最小权限。
-
行管团队:搭建基础设施、配置权限策略 创建权限。 为开发人员创建开发权限。 创建舰队并将权限关联至舰队。 舰队是多个集群的集合,舰队可以实现多集群的权限统一管理。行管人员关联上一步创建的开发权限至舰队,后续加入舰队的集群将拥有舰队的权限,这样开发人员就有操作舰队中集群资源(如创建工作负载)的权限了。详细的操作指导请参见管理容器舰队。 注册集群,并将它们添加到舰队中。 UCS服务支持注册华为云集群、本地集群、多云集群及附着集群,行管人员可以根据实际需求选择。详细的操作指导请参见华为云集群、附着集群概述、本地集群概述或多云集群概述。 开通集群联邦。 集群联邦可以提供:多集群统一编排、跨集群弹性伸缩、跨集群服务发现、应用故障自动迁移等能力。集群联邦开通后,舰队内的成员集群将自动接入联邦。
-
权限设计 公司不同的职能团队针对UCS资源的操作范围如下图所示: 图2 UCS资源操作全景 :由Tenant Administrator角色的管理员为各个职能团队授权。 、、、、、、:拥有UCS FullAccess权限的行管团队负责创建舰队、注册集群、将集群加入舰队,以及开通集群联邦能力,搭建多集群联邦基础设施。同时,行管团队创建权限,并将权限关联至舰队或未加入舰队的集群,使开发团队对具体的Kubernetes资源拥有相应的操作权限。 、:拥有UCS CommonOperations权限的开发团队执行创建工作负载、流量分发等操作。 :拥有UCS CIAOperations权限的运维团队执行监控运维等操作。 :拥有UCS ReadOnlyAccess权限的访客进行集群、舰队、工作负载等资源的查看操作。
-
举例说明 例如您希望a、b两组员工之间的权限隔离,即a组员工使用区域一项目 云桌面 资源、b组员工使用区域二项目云桌面资源。 您可以创建A、B两个用户组并授权,即将用户组A赋予区域一项目中云桌面的管理员权限,将用户组B赋予区域二中云桌面的管理员权限。 再创建两个IAM用户user1、user2,并将IAM用户user1加入用户组A,将IAM用户user2加入用户组B。此时IAM用户user1即拥有区域一项目云桌面管理员权限,IAM用户user2拥有区域二项目云桌面管理员权限。 a组员工的管理员可以使用IAM用户user1的账号登录华为云,进入区域一项目的云桌面控制台页面,为a组员工购买桌面,并对区域一项目中的云桌面进行管理。b组员工的管理员可以使用IAM用户user2的账号登录华为云,进入区域二项目的云桌面控制台页面,为b组员工购买桌面,并对区域二项目中的云桌面进行管理。操作流程如图1所示。IAM用户创建请参见创建IAM用户。 图1 操作示意图
-
云桌面服务管理员权限 权限根据授权的精细程度,分为策略和角色。云桌面服务使用角色授予IAM用户管理员权限。 默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予云桌面管理员权限,才能使得用户组中的用户获得对应权限,这一过程称为授权。授权后,IAM用户可以在对应拥有权限的项目中对云桌面资源进行操作。 如表1所示,包括了云桌面的所有系统权限。其中“依赖关系”表示云桌面的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系,云桌面的角色依赖其他服务的角色实现功能。因此给用户组授予云桌面的权限时,请勿取消已勾选的其他依赖权限,否则云桌面的权限将无法生效。 表1 云桌面系统权限 系统权限 描述 说明 Workspace FullAccess 云桌面服务所有权限 云桌面服务所有权限。 Workspace DesktopsManager 云桌面服务桌面管理员权限 创建、删除、操作桌面(普通桌面、专属主机、渲染桌面、专享桌面、桌面池)及其他桌面相关(上网、定时任务、应用中心、镜像管理)的所有操作。 Workspace UserManager 云桌面服务用户管理员权限 创建用户、删除用户、重置密码等用户管理操作。 Workspace SecurityManager 云桌面服务安全管理员权限 策略管理、用户连接记录等的所有跟安全相关的功能操作。 Workspace TenantManager 云桌面服务租户配置管理员权限 租户配置的所有功能。 Workspace ReadOnlyAccess 云桌面服务只读权限 云桌面服务只读权限。 以下操作需要添加额外的权限如表2所示。 云桌面依赖权限,请参考IAM用户授权或者自定义策略。 表2 额外权限 操作类型 依赖的系统角色、策略或自定义策略 说明 BSS相关权限:包周期相关操作,如购买、变更、按需转包周期等。 系统角色:BSS Administrator 自定义策略添加以下action: bss:discount:view bss:order:update bss:order:view bss:order:pay bss:renewal:view 系统角色与自定义策略二选一即可。 IAM相关权限:定时任务、桌面池,创建与查询委托时需要的权限。 创建与查询委托依赖权限: 系统角色:Security Administrator 自定义策略添加以下action: iam:roles:getRole iam:roles:listRoles iam:agencies:getAgency iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToAgencyOnProject 仅需要查询委托依赖权限: 系统策略:IAM ReadOnlyAccess 自定义策略添加以下action: iam:agencies:getAgency iam:agencies:listAgencies iam:permissions:listRolesForAgencyOnProject 创建委托时:系统角色Security Administrator与自定义策略二选一即可。 仅查询委托时:系统策略IAM ReadOnlyAccess与自定义策略二选一即可。 TMS相关权限:创建桌面时,要查询预定义标签则需要该权限。 系统策略:TMS FullAccess 自定义策略添加以下action: tms:predefineTags:list 系统策略与自定义策略二选一即可。 VPCEP相关权限:开通/关闭云专线接入时需要该权限(企业项目细粒度鉴权时需要) 系统角色:VPCEndpoint Administrator VPCEP服务暂不支持企业项目细粒度鉴权。 VPC相关权限:桌面相关操作、开通小规模桌面上网(企业项目细粒度鉴权时需要) IAM项目级的权限 系统策略:VPC ReadOnlyAccess 系统角色:VPC Administrator 需要拥有开通桌面云服务所使用的VPC所在企业项目的VPC权限。 IMS相关权限:创建镜像时需要该权限(企业项目细粒度鉴权时需要) 自定义策略添加以下action: ims:images:get ims:images:share IMS服务暂不支持企业项目细粒度鉴权。 以下Action的授权,仅支持北向接口,用户在IAM管理控制台授权后,在云桌面管理控制台对桌面的启动、关闭、重启等操作依然无权限。 云桌面管理控制台开机、关机、重启操作需授权Action: 权限:操作桌面 对应接口:POST/v2/{project_id}/desktops/action 授权项:workspace:desktops:operate 表3 仅北向接口支持权限 权限 对应API接口 授权项(Action) 启动桌面 POST /v2/{project_id}/desktops/start workspace:desktops:start 关闭桌面 POST /v2/{project_id}/desktops/stop workspace:desktops:stop 重启桌面 POST /v2/{project_id}/desktops/reboot workspace:desktops:reboot
-
ModelArts权限管理 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分,为项目级服务,授权时“选择授权范围方案”可以选择“指定区域项目资源”,如果授权时指定了区域(如华北-北京4)对应的项目(cn-north-4),则该权限仅对此项目生效;简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目,所以选择授权范围方案时,也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候,并不是直接将具体的某个权限进行赋权,而是需要先将权限加入到“策略”当中,再把策略赋给用户组。为了方便用户的权限管理,各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求,则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户,拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户,拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲,只给管理员开通“ModelArts FullAccess”,如果不需要太精细的控制,直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制,请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上,当您给用户进行ModelArts赋权时,系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全,不会出现预期外的“越权”,但缺点是,您必须同时给用户赋予不同服务的权限,才能确保用户可以顺利完成某些ModelArts操作。 举例,如果用户需要用OBS中的数据进行训练,当已经为IAM用户配置ModelArts训练权限时,仍需同时为其配置对应的OBS权限(读、写、列表),才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径;读权限主要用于数据的预览以及训练任务执行时的数据读取;写权限则是为了保存训练结果和日志。 对于个人用户或小型组织,一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略,这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时,由于用户的权限较大,会存在相对较大的安全风险,需谨慎使用。(对于个人用户,其默认IAM账号就已经属于admin用户组,且具备Tenant Administrator权限,无需额外操作) 当您需要限制用户操作,仅为ModelArts用户配置OBS相关的最小化权限项,具体操作请参见OBS权限管理。对于其他云服务,也可以进行精细化权限控制,具体请参考对应的云服务文档。
-
严格授权模式 严格授权模式是指在IAM中创建的子用户必须由账号管理员显式在IAM中授权,才能访问ModelArts服务,管理员用户可以通过授权策略为普通用户精确添加所需使用的ModelArts功能的权限。 相对的,在非严格授权模式下,子用户不需要显式授权就可以使用ModelArts,管理员需要在IAM上为子用户配置Deny策略来禁止子用户使用ModelArts的某些功能。 账号的管理员用户可以在“全局配置”页面修改授权模式。 如无特殊情况,建议优先使用严格授权模式。在严格授权模式下,子用户要使用ModelArts的功能都需经过授权,可以更精确的控制子用户的权限范围,达成权限最小化的安全策略。
-
用工作空间限制资源访问 工作空间是ModelArts面向企业客户提供的一个高阶功能,用于进一步将用户的资源划分在多个逻辑隔离的空间中,并支持以空间维度进行访问的权限限定。目前工作空间功能是“受邀开通”状态,作为企业用户您可以通过您对口的技术支持经理申请开通。 在开通工作空间后,系统会默认为您创建一个“default”空间,您之前所创建的所有资源,均在该空间下。当您创建新的工作空间之后,相当于您拥有了一个新的“ModelArts分身”,您可以通过菜单栏的左上角进行工作空间的切换,不同工作空间中的工作互不影响。 创建工作空间时,必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目,但一个工作空间不可以绑定多个企业项目。借助工作空间,您可以对不同用户的资源访问和权限做更加细致的约束,具体为如下两种约束: 只有被授权的用户才能访问特定的工作空间(在创建、管理工作空间的页面进行配置),这意味着,像数据集、算法等AI资产,均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中,如果“选择授权范围方案”时设定为“指定企业项目资源”,那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的,意味着对于一个用户,必须同时拥有工作空间的访问权和训练任务的创建权限(且该权限覆盖至当前的工作空间),他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户,其所有操作均相当于在“default”企业项目里进行,请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户,不受上述约束限制。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格