云服务器内容精选
-
SFS自定义策略样例(以SFS容量型文件系统为例) 示例1:授权用户创建文件系统。 { "Version": "1.1", "Statement": [ { "Action": [ "sfs:shares:createShare" ], "Effect": "Allow" } ] } 示例2:拒绝用户删除文件系统 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予SFS FullAccess的系统策略,但不希望用户拥有SFS FullAccess中定义的删除文件系统权限,您可以创建一条拒绝删除文件系统的自定义策略,然后同时将SFS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对SFS执行除了删除文件系统外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "sfs:shares:deleteShare" ] } ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sfs:shares:createShare", "sfs:shares:deleteShare", "sfs:shares:updateShare" ] }, { "Effect": "Allow", "Action": [ "ecs:servers:delete" ] } ] }
-
SFS自定义策略样例(以通用文件系统为例) 示例1:授权用户创建通用文件系统。 { "Version": "1.1", "Statement": [ { "Action": [ "sfs3:fileSystem:createFileSystem" ], "Effect": "Allow" } ] } 示例2:拒绝用户删除通用文件系统 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予SFS3 FullAccess的系统策略,但不希望用户拥有SFS3 FullAccess中定义的删除通用文件系统权限,您可以创建一条拒绝删除通用文件系统的自定义策略,然后同时将SFS3 FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对SFS执行除了删除通用文件系统外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "sfs3:fileSystem:deleteFileSystem" ] } ] }
-
示例流程 图1 给用户授权ServiceStage权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予ServiceStage服务“ServiceStage ReadOnlyAccess”权限。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证ServiceStage的只读权限: 在“服务列表”中选择“应用管理与运维平台 ServiceStage”。 进入“应用管理”页面,单击“创建应用”。 若提示权限不足,表示“ServiceStage ReadOnlyAccess”已生效。
-
示例流程 图1 给用户授权DCS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予分布式缓存服务的只读权限“DCS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证分布式缓存服务的只读权限。 在“服务列表”中选择分布式缓存服务,进入DCS主界面,单击右上角“购买缓存实例”,尝试购买缓存实例,如果无法购买缓存实例(假设当前权限仅包含DCS ReadOnlyAccess),表示“DCS ReadOnlyAccess”已生效。 在“服务列表”中选择除分布式缓存服务外(假设当前策略仅包含DCS ReadOnlyAccess)的任一服务,若提示权限不足,表示“DCS ReadOnlyAccess”已生效。
-
授权操作说明 创建用户 操作方式: CREATE USER 'username'@'host' IDENTIFIED BY 'password'; · username:待创建的账号。 · host:允许该账号登录的主机,如果允许该账号从任意主机登录数据库,可以使用%。 · password:账号的密码。 例如:授予drsmigration账号具备所有数据库和表的所有权限,并允许从任意主机登录数据库,命令如下。 CREATE USER 'drsmigration'@'%' IDENTIFIED BY 'Drs123456'; 授予相应权限 操作方式: GRANT privileges ON databasename.tablename TO 'username'@'host' WITH GRANT OPTION; flush privileges; · privileges:授予该账号的操作权限,如SELECT、INSERT、UPDATE等,如果要授予该账号所有权限,则使用ALL · databasename:数据库名。如果要授予该账号具备所有数据库的操作权限,则使用*。 · tablename:表名。如果要授予该账号具备所有表的操作权限,则使用*。 · username:待授权的账号。 · host:允许该账号登录的主机,如果允许该账号从任意主机登录,则使用%。 · WITH GRANT OPTION:授予该账号使用GRANT命令的权限,该参数为可选。 例如:创建一个账号,账号名为drsmigration,密码为Drs123456,并允许从任意主机登录数据库,命令如下。 GRANT ALL ON *.* TO 'drsmigration'@'%';
-
权限要求 源和目标库的连接账号需要具有登录权限,如果没有该账号,可以通过如下方式创建,以user1为例。 参考语句:CREATE USER 'user1'@'host' IDENTIFIED BY 'password'; DRS的实时迁移、实时同步、实时灾备功能的权限要求,表1 权限要求中以user1为例提供参考语句。 表1 权限要求及参考语句 功能模块 源/业务数据库 目标/灾备数据库 实时迁移 全量迁移权限要求: SELECT、SHOW VIEW、EVENT。 参考语句:GRANT SELECT, SHOW VIEW, EVENT ON *.* TO 'user1'; 全量+增量迁移权限要求: SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 其中,REPLICATION SLAVE、REPLICATION CLIENT是全局权限,必须单独开启。参考语句如下: GRANT REPLICATION SLAVE, REPLICATION CLIENT ON *.* TO 'user1'; SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限,参考语句如下: GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLES ON [待迁移数据库].* TO 'user1'; 全量迁移权限要求: SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时,还需要有SESSION_VARIABLES_ADMIN权限。 参考语句:GRANT SELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER ON *.* TO 'user1' WITH GRANT OPTION; 全量+增量迁移权限要求: SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时,还需要有SESSION_VARIABLES_ADMIN权限。 参考语句:GRANT SELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER, REFERENCES ON [待迁移数据库].* TO 'user1' WITH GRANT OPTION; 实时同步 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 其中,REPLICATION SLAVE、REPLICATION CLIENT是全局权限,必须单独开启。参考语句如下: GRANT REPLICATION SLAVE, REPLICATION CLIENT ON *.* TO 'user1'; SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限,参考语句如下: GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLES ON [待同步数据库].* TO 'user1'; SELECT、CREATE、DROP、DELETE、INSERT、UPDATE、ALTER、CREATE VIEW、CREATE ROUTINE、REFERENCES。 参考语句:GRANT SELECT, CREATE, DROP, DELETE, INSERT, UPDATE, ALTER, REFERENCES ON [待同步数据库].* TO 'user1'; 实时灾备 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、TRIGGER、REFERENCES、SHOW VIEW、EVENT、INDEX、LOCK TABLES、CREATE VIEW、 CREATE ROUTINE、 ALTER ROUTINE、 CREATE USER、RELOAD、REPLICATION SLAVE、REPLICATION CLIENT、WITH GRANT OPTION,RDS for MySQL实例的root账户默认已具备上述权限。当业务数据库为8.0.14-8.0.18版本时,还需要有SESSION_VARIABLES_ADMIN权限。 参考语句:GRANT SELECT,CREATE,ALTER,DROP,DELETE,INSERT,UPDATE,TRIGGER,SHOW VIEW,EVENT,INDEX,LOCK TABLES,CREATE VIEW,CREATE ROUTINE,ALTER ROUTINE,CREATE USER,RELOAD,REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO 'user1'; SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、TRIGGER、REFERENCES、SHOW VIEW、EVENT、INDEX、LOCK TABLES、CREATE VIEW、 CREATE ROUTINE、 ALTER ROUTINE、 CREATE USER、RELOAD、REPLICATION SLAVE、REPLICATION CLIENT、WITH GRANT OPTION,RDS for MySQL实例的root账户默认已具备上述权限。当灾备数据库为8.0.14-8.0.18版本时,还需要有SESSION_VARIABLES_ADMIN权限。 参考语句:GRANT SELECT,CREATE,ALTER,DROP,DELETE,INSERT,UPDATE,TRIGGER,REFERENCES,SHOW VIEW,EVENT,INDEX,LOCK TABLES,CREATE VIEW,CREATE ROUTINE,ALTER ROUTINE,CREATE USER,RELOAD,REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO 'user1'@'%' WITH GRANT OPTION; 请在以上参考语句后执行flush privileges;使授权生效。
-
示例流程 图1 给用户授权OA权限流程 在IAM控制台创建用户组,并授予优化顾问服务权限“OA FullAccessPolicy”、“OA AdvancedOperationsPolicy”、“OA CommonOperationsPolicy”、“OA ReadOnlyAccessPolicy”,推荐授予OA FullAccessPolicy权限。 以上权限为优化顾问服务的全部权限,如您期望更精细化的优化顾问服务功能的权限,请参见:权限管理,对用户组授予对应权限。 创建用户 在IAM控制台创建用户,并将其加1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证优化顾问服务的“OA FullAccessPolicy”权限。
-
配置主机购买模板 场景 委托对象 自定义策略名称 细粒度最小使用权限 配置主机购买模板 MgC MgC PurchaseTemplateAgencyPolicy iam:projects:listProjects(查询租户项目) eps:enterpriseProjects:list(查看企业项目列表) vpc:subnets:get(查询子网列表或详情) vpc:securityGroups:get(查询安全组列表或详情)
-
主机迁移工作流 场景 委托对象 自定义策略名称 细粒度最小使用权限 主机迁移工作流 MgC MgC ServerMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:createServers(创建云服务器) sms:server:migrationServer(迁移源端服务器) sms:server:queryServer(查看源端服务器) ecs:cloudServers:list(查看云服务器列表) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerQuotas:get(查询租户配额) vpc:publicIps:create(创建弹性公网IP)
-
购买资源 场景 委托对象 自定义策略名称 细粒度最小使用权限 购买资源 MgC MgC PurchaseAgencyPolicy eps:resources:add(企业项目资源迁入) ecs:cloudServers:createServers(创建云服务器) evs:volumes:list(查询云硬盘列表) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:cloudServers:createServers(创建云服务器) vpc:publicIps:update(更新弹性公网IP) vpc:publicIps:create(创建弹性公网IP)
-
创建迁移集群 场景 委托对象 自定义策略名称 细粒度最小使用权限 创建迁移集群 OMS OMS ObsMigrationAgencyPolicy ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:deleteServers(删除云服务器) ecs:cloudServers:list(查询云服务器详情列表) nat:natGateways:create(创建NAT网关) nat:natGateways:get(查询NAT网关详情) nat:natGateways:delete(删除NAT网关) nat:snatRules:create(创建SNAT规则) nat:snatRules:get(查询SNAT规则详情) nat:dnatRules:list(查询DNAT规则列表) nat:snatRules:list(查询SNAT规则列表) nat:snatRules:delete(删除SNAT规则) nat:natGateways:list(查询NAT网关列表) vpc:securityGroups:create(创建安全组) vpc:securityGroups:delete(删除安全组) vpc:securityGroups:get(查询安全组列表或详情) vpc:securityGroupRules:create(创建安全组规则) vpc:securityGroupRules:get(查询安全组规则列表或详情) vpc:securityGroupRules:delete(删除安全组规则) vpc:securityGroups:get(查询安全组列表或详情) vpcep:epservices:create(创建终端节点服务) vpcep:epservices:get(查询终端节点服务详情) vpcep:permissions:list(查询终端节点服务的白名单列表) vpcep:connections:list(查询连接终端节点服务的连接列表) vpcep:epservices:list(查询终端节点服务列表) vpcep:epservices:delete(删除终端节点服务) vpcep:endpoints:create(创建终端节点) vpcep:endpoints:list(查询终端节点列表) vpcep:endpoints:get(查询终端节点详情) vpcep:endpoints:delete(删除终端节点) vpcep:connections:update(接受或拒绝终端节点的连接) vpcep:permissions:update(批量添加或移除终端节点服务的白名单) lts:topics:get(查询指定日志主题) lts:topics:create(创建日志主题) lts:topics:list(查询日志主题列表) lts:topics:delete(删除指定日志主题) lts:*:*(所有主机组相关的操作) lts:groups:create(创建日志组) lts:groups:get(查询指定日志组) lts:groups:delete(删除指定日志组) aom:*:*(aom的所有权限) apm:icmgr:*(apm采集组件的所有权限) ECS ECS ObsMigrationAgencyPolicy apm:icmgr:*(apm采集组件的所有权限)
-
跨可用区迁移 场景 委托对象 自定义策略名称 细粒度最小使用权限 跨可用区迁移 MgC MgC AzMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:flavors:get(查询云服务器规格) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServerQuotas:get(查询租户配额) ecs:servers:list(查询云服务器列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:servers:stop(关闭云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerNics:update(云服务器网卡配置私有IP) ecs:availabilityZones:list(查询可用区列表) vpc:publicIps:create(创建弹性公网IP) vpc:publicIps:update(更新弹性公网IP) vpc:subnets:get(查询子网列表或详情) vpc:networks:get(查询网络列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:publicIps:get(查询弹性公网IP详情) vpc:ports:get(查询端口列表或详情) vpc:ports:delete(删除端口) vpc:ports:update(更新端口) vpc:ports:create(创建端口) evs:types:get(查询云硬盘类型) evs:volumes:list(查询云硬盘列表) cbr:vaults:get(查询指定存储) cbr:vaults:list(查询存储库列表) cbr:vaults:create(创建存储库) cbr:vaults:addResources(添加资源) cbr:vaults:backup(执行备份) cbr:backups:list(查询备份列表) cbr:tasks:list(查询任务列表) cbr:tasks:get(查询单个任务) cbr:backups:delete(删除备份) cbr:backups:get(查询指定备份) cbr:vaults:delete(删除存储库) ims:wholeImages:create(制作整机镜像) ims:images:list(查询镜像列表) ims:images:delete(删除镜像) ims:images:get(查询镜像详情) ims:serverImages:create(制作镜像)
-
示例流程 图1 给用户授权DataArts Insight权限流程 创建用户组并授权。 在IAM控制台创建用户组,并授予DataArts Insight服务普通用户权限“DataArts Insight ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台,切换至授权区域,验证权限: 登录DataArts Insight管理控制台。如果在“数据集”页面可以查看数据集列表,但是无法创建数据集(假设当前权限仅包含DataArts Insight ReadOnlyAccess),表示“DataArts Insight ReadOnlyAccess”已生效。 在“服务列表”中选择除登录DataArts Insight外(假设当前策略仅包含DataArts Insight ReadOnlyAccess)的任一服务,如果提示权限不足,表示“DataArts Insight ReadOnlyAccess”已生效。
-
命名空间权限 Kubernetes RBAC API定义了四种类型:Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding,这两种类型之间的关系和简要说明如下: ClusterRole:描述角色和权限的关系。在Kubernetes的RBAC API中,一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding:描述subjects(包含users,groups)和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户,该用户或用户组则具有对应绑定ClusterRole定义的权限。 表1 RBAC API所定义的两种类型 类型名称 说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject(用户)绑定到某个具有特定权限的ClusterRole下,则此subject即具有该ClusterRole定义的权限。 当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。
-
示例流程 图1 给用户授权DeH权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予专属主机权限“DeH ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择专属主机服务,进入DeH主界面,单击右上角“购买专属主机”,如果无法购买专属主机(假设当前权限仅包含DeH ReadOnlyAccess),表示“DeH ReadOnlyAccess”已生效。 在“服务列表”中选择除专属主机服务外(假设当前策略仅包含ECS Viewer)的任一服务,若提示权限不足,表示“DeH ReadOnlyAccess”已生效。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格