权限管理-华为云

弹性文件服务 SFS-创建SFS自定义策略:SFS自定义策略样例（以SFS容量型文件系统为例）

SFS自定义策略样例（以SFS容量型文件系统为例）示例1：授权用户创建文件系统。 { "Version": "1.1", "Statement": [ { "Action": [ "sfs:shares:createShare" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除文件系统拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。如果您给用户授予SFS FullAccess的系统策略，但不希望用户拥有SFS FullAccess中定义的删除文件系统权限，您可以创建一条拒绝删除文件系统的自定义策略，然后同时将SFS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对SFS执行除了删除文件系统外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "sfs:shares:deleteShare" ] } ] } 示例3：多个授权项策略一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sfs:shares:createShare", "sfs:shares:deleteShare", "sfs:shares:updateShare" ] }, { "Effect": "Allow", "Action": [ "ecs:servers:delete" ] } ] }

弹性文件服务 SFS 权限管理

弹性文件服务 SFS-创建SFS自定义策略:SFS自定义策略样例（以通用文件系统为例）

SFS自定义策略样例（以通用文件系统为例）示例1：授权用户创建通用文件系统。 { "Version": "1.1", "Statement": [ { "Action": [ "sfs3:fileSystem:createFileSystem" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除通用文件系统拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。如果您给用户授予SFS3 FullAccess的系统策略，但不希望用户拥有SFS3 FullAccess中定义的删除通用文件系统权限，您可以创建一条拒绝删除通用文件系统的自定义策略，然后同时将SFS3 FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对SFS执行除了删除通用文件系统外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "sfs3:fileSystem:deleteFileSystem" ] } ] }

弹性文件服务 SFS 权限管理

应用管理与运维平台 SERVICESTAGE-创建用户并授权使用ServiceStage:示例流程

示例流程图1 给用户授权ServiceStage权限流程创建用户组并授权在IAM控制台创建用户组，并授予ServiceStage服务“ServiceStage ReadOnlyAccess”权限。创建用户并加入用户组在IAM控制台创建用户，并将其加入1中创建的用户组。用户登录并验证权限新创建的用户登录控制台，验证ServiceStage的只读权限：在“服务列表”中选择“应用管理与运维平台 ServiceStage”。进入“应用管理”页面，单击“创建应用”。若提示权限不足，表示“ServiceStage ReadOnlyAccess”已生效。

应用管理与运维平台 SERVICESTAGE 权限管理

分布式缓存服务 DCS-创建用户并授权使用DCS:示例流程

示例流程图1 给用户授权DCS权限流程创建用户组并授权在IAM控制台创建用户组，并授予分布式缓存服务的只读权限“DCS ReadOnlyAccess”。创建用户并加入用户组在IAM控制台创建用户，并将其加入1中创建的用户组。用户登录并验证权限新创建的用户登录控制台，验证分布式缓存服务的只读权限。在“服务列表”中选择分布式缓存服务，进入DCS主界面，单击右上角“购买缓存实例”，尝试购买缓存实例，如果无法购买缓存实例（假设当前权限仅包含DCS ReadOnlyAccess），表示“DCS ReadOnlyAccess”已生效。在“服务列表”中选择除分布式缓存服务外（假设当前策略仅包含DCS ReadOnlyAccess）的任一服务，若提示权限不足，表示“DCS ReadOnlyAccess”已生效。

分布式缓存服务 DCS 权限管理

数据复制服务 DRS-DRS要求的MySQL权限有哪些:授权操作说明

授权操作说明创建用户操作方式： CREATE USER 'username'@'host' IDENTIFIED BY 'password'; · username：待创建的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录数据库，可以使用%。 · password：账号的密码。例如：授予drsmigration账号具备所有数据库和表的所有权限，并允许从任意主机登录数据库，命令如下。 CREATE USER 'drsmigration'@'%' IDENTIFIED BY 'Drs123456'; 授予相应权限操作方式： GRANT privileges ON databasename.tablename TO 'username'@'host' WITH GRANT OPTION; flush privileges; · privileges：授予该账号的操作权限，如SELECT、INSERT、UPDATE等，如果要授予该账号所有权限，则使用ALL · databasename：数据库名。如果要授予该账号具备所有数据库的操作权限，则使用*。 · tablename：表名。如果要授予该账号具备所有表的操作权限，则使用*。 · username：待授权的账号。 · host：允许该账号登录的主机，如果允许该账号从任意主机登录，则使用%。 · WITH GRANT OPTION：授予该账号使用GRANT命令的权限，该参数为可选。例如：创建一个账号，账号名为drsmigration，密码为Drs123456，并允许从任意主机登录数据库，命令如下。 GRANT ALL ON *.* TO 'drsmigration'@'%';

数据复制服务 DRS 权限管理

数据复制服务 DRS-DRS要求的MySQL权限有哪些:权限要求

权限要求源和目标库的连接账号需要具有登录权限，如果没有该账号，可以通过如下方式创建，以user1为例。参考语句：CREATE USER 'user1'@'host' IDENTIFIED BY 'password'; DRS的实时迁移、实时同步、实时灾备功能的权限要求，表1 权限要求中以user1为例提供参考语句。表1 权限要求及参考语句功能模块源/业务数据库目标/灾备数据库实时迁移全量迁移权限要求： SELECT、SHOW VIEW、EVENT。参考语句：GRANT SELECT, SHOW VIEW, EVENT ON *.* TO 'user1'; 全量+增量迁移权限要求： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。其中，REPLICATION SLAVE、REPLICATION CLIENT是全局权限，必须单独开启。参考语句如下： GRANT REPLICATION SLAVE, REPLICATION CLIENT ON *.* TO 'user1'; SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限，参考语句如下： GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLES ON [待迁移数据库].* TO 'user1'; 全量迁移权限要求： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。参考语句：GRANT SELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER ON *.* TO 'user1' WITH GRANT OPTION; 全量+增量迁移权限要求： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFERENCES、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。参考语句：GRANT SELECT, CREATE, ALTER, DROP, DELETE, INSERT, UPDATE, INDEX, EVENT, CREATE VIEW, CREATE ROUTINE, TRIGGER, REFERENCES ON [待迁移数据库].* TO 'user1' WITH GRANT OPTION; 实时同步 SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。其中，REPLICATION SLAVE、REPLICATION CLIENT是全局权限，必须单独开启。参考语句如下： GRANT REPLICATION SLAVE, REPLICATION CLIENT ON *.* TO 'user1'; SELECT、SHOW VIEW、EVENT、LOCK TABLES是非全局权限，参考语句如下： GRANT SELECT, SHOW VIEW, EVENT, LOCK TABLES ON [待同步数据库].* TO 'user1'; SELECT、CREATE、DROP、DELETE、INSERT、UPDATE、ALTER、CREATE VIEW、CREATE ROUTINE、REFERENCES。参考语句：GRANT SELECT, CREATE, DROP, DELETE, INSERT, UPDATE, ALTER, REFERENCES ON [待同步数据库].* TO 'user1'; 实时灾备 SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、TRIGGER、REFERENCES、SHOW VIEW、EVENT、INDEX、LOCK TABLES、CREATE VIEW、 CREATE ROUTINE、 ALTER ROUTINE、 CREATE USER、RELOAD、REPLICATION SLAVE、REPLICATION CLIENT、WITH GRANT OPTION，RDS for MySQL实例的root账户默认已具备上述权限。当业务数据库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。参考语句：GRANT SELECT,CREATE,ALTER,DROP,DELETE,INSERT,UPDATE,TRIGGER,SHOW VIEW,EVENT,INDEX,LOCK TABLES,CREATE VIEW,CREATE ROUTINE,ALTER ROUTINE,CREATE USER,RELOAD,REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO 'user1'; SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、TRIGGER、REFERENCES、SHOW VIEW、EVENT、INDEX、LOCK TABLES、CREATE VIEW、 CREATE ROUTINE、 ALTER ROUTINE、 CREATE USER、RELOAD、REPLICATION SLAVE、REPLICATION CLIENT、WITH GRANT OPTION，RDS for MySQL实例的root账户默认已具备上述权限。当灾备数据库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。参考语句：GRANT SELECT,CREATE,ALTER,DROP,DELETE,INSERT,UPDATE,TRIGGER,REFERENCES,SHOW VIEW,EVENT,INDEX,LOCK TABLES,CREATE VIEW,CREATE ROUTINE,ALTER ROUTINE,CREATE USER,RELOAD,REPLICATION SLAVE,REPLICATION CLIENT ON *.* TO 'user1'@'%' WITH GRANT OPTION; 请在以上参考语句后执行flush privileges;使授权生效。

数据复制服务 DRS 权限管理

优化顾问 OA-创建用户并授权使用优化顾问服务:示例流程

示例流程图1 给用户授权OA权限流程在IAM控制台创建用户组，并授予优化顾问服务权限“OA FullAccessPolicy”、“OA AdvancedOperationsPolicy”、“OA CommonOperationsPolicy”、“OA ReadOnlyAccessPolicy”，推荐授予OA FullAccessPolicy权限。以上权限为优化顾问服务的全部权限，如您期望更精细化的优化顾问服务功能的权限，请参见：权限管理，对用户组授予对应权限。创建用户在IAM控制台创建用户，并将其加1中创建的用户组。用户登录并验证权限新创建的用户登录控制台，验证优化顾问服务的“OA FullAccessPolicy”权限。

优化顾问 OA 权限管理

迁移中心 MGC-委托权限说明:配置主机购买模板

配置主机购买模板场景委托对象自定义策略名称细粒度最小使用权限配置主机购买模板 MgC MgC PurchaseTemplateAgencyPolicy iam:projects:listProjects（查询租户项目） eps:enterpriseProjects:list（查看企业项目列表） vpc:subnets:get（查询子网列表或详情） vpc:securityGroups:get（查询安全组列表或详情）

迁移中心 MGC 权限管理

迁移中心 MGC-委托权限说明:主机迁移工作流

主机迁移工作流场景委托对象自定义策略名称细粒度最小使用权限主机迁移工作流 MgC MgC ServerMigrationAgencyPolicy ecs:cloudServers:showServer（查询云服务器详情） ecs:cloudServers:createServers（创建云服务器） sms:server:migrationServer（迁移源端服务器） sms:server:queryServer（查看源端服务器） ecs:cloudServers:list（查看云服务器列表） ecs:cloudServers:listServerBlockDevices（查询弹性云服务器磁盘信息） ecs:cloudServerQuotas:get（查询租户配额） vpc:publicIps:create（创建弹性公网IP）

迁移中心 MGC 权限管理

迁移中心 MGC-委托权限说明:购买资源

购买资源场景委托对象自定义策略名称细粒度最小使用权限购买资源 MgC MgC PurchaseAgencyPolicy eps:resources:add（企业项目资源迁入） ecs:cloudServers:createServers（创建云服务器） evs:volumes:list（查询云硬盘列表） ecs:cloudServerFlavors:get（查询云服务器规格详情和扩展信息列表） ecs:cloudServers:list（查询云服务器详情列表） ecs:cloudServers:createServers（创建云服务器） vpc:publicIps:update（更新弹性公网IP） vpc:publicIps:create（创建弹性公网IP）

迁移中心 MGC 权限管理

迁移中心 MGC-委托权限说明:创建迁移集群

创建迁移集群场景委托对象自定义策略名称细粒度最小使用权限创建迁移集群 OMS OMS ObsMigrationAgencyPolicy ecs:cloudServers:createServers（创建云服务器） ecs:cloudServers:listServerInterfaces（查询云服务器网卡信息） ecs:cloudServers:showServer（查询云服务器详情） ecs:cloudServers:deleteServers（删除云服务器） ecs:cloudServers:list（查询云服务器详情列表） nat:natGateways:create（创建NAT网关） nat:natGateways:get（查询NAT网关详情） nat:natGateways:delete（删除NAT网关） nat:snatRules:create（创建SNAT规则） nat:snatRules:get（查询SNAT规则详情） nat:dnatRules:list（查询DNAT规则列表） nat:snatRules:list（查询SNAT规则列表） nat:snatRules:delete（删除SNAT规则） nat:natGateways:list（查询NAT网关列表） vpc:securityGroups:create（创建安全组） vpc:securityGroups:delete（删除安全组） vpc:securityGroups:get（查询安全组列表或详情） vpc:securityGroupRules:create（创建安全组规则） vpc:securityGroupRules:get（查询安全组规则列表或详情） vpc:securityGroupRules:delete（删除安全组规则） vpc:securityGroups:get（查询安全组列表或详情） vpcep:epservices:create（创建终端节点服务） vpcep:epservices:get（查询终端节点服务详情） vpcep:permissions:list（查询终端节点服务的白名单列表） vpcep:connections:list（查询连接终端节点服务的连接列表） vpcep:epservices:list（查询终端节点服务列表） vpcep:epservices:delete（删除终端节点服务） vpcep:endpoints:create（创建终端节点） vpcep:endpoints:list（查询终端节点列表） vpcep:endpoints:get（查询终端节点详情） vpcep:endpoints:delete（删除终端节点） vpcep:connections:update（接受或拒绝终端节点的连接） vpcep:permissions:update（批量添加或移除终端节点服务的白名单） lts:topics:get（查询指定日志主题） lts:topics:create（创建日志主题） lts:topics:list（查询日志主题列表） lts:topics:delete（删除指定日志主题） lts:*:*（所有主机组相关的操作） lts:groups:create（创建日志组） lts:groups:get（查询指定日志组） lts:groups:delete（删除指定日志组） aom:*:*（aom的所有权限） apm:icmgr:*（apm采集组件的所有权限） ECS ECS ObsMigrationAgencyPolicy apm:icmgr:*（apm采集组件的所有权限）

迁移中心 MGC 权限管理

迁移中心 MGC-委托权限说明:跨可用区迁移

跨可用区迁移场景委托对象自定义策略名称细粒度最小使用权限跨可用区迁移 MgC MgC AzMigrationAgencyPolicy ecs:cloudServers:showServer（查询云服务器详情） ecs:flavors:get（查询云服务器规格） ecs:cloudServerFlavors:get（查询云服务器规格详情和扩展信息列表） ecs:cloudServerQuotas:get（查询租户配额） ecs:servers:list（查询云服务器列表） ecs:cloudServers:list（查询云服务器详情列表） ecs:servers:stop（关闭云服务器） ecs:cloudServers:listServerInterfaces（查询云服务器网卡信息） ecs:cloudServers:createServers（创建云服务器） ecs:cloudServers:listServerBlockDevices（查询弹性云服务器磁盘信息） ecs:cloudServerNics:update（云服务器网卡配置私有IP） ecs:availabilityZones:list（查询可用区列表） vpc:publicIps:create（创建弹性公网IP） vpc:publicIps:update（更新弹性公网IP） vpc:subnets:get（查询子网列表或详情） vpc:networks:get（查询网络列表或详情） vpc:publicIps:list（查询弹性公网IP） vpc:publicIps:get（查询弹性公网IP详情） vpc:ports:get（查询端口列表或详情） vpc:ports:delete（删除端口） vpc:ports:update（更新端口） vpc:ports:create（创建端口） evs:types:get（查询云硬盘类型） evs:volumes:list（查询云硬盘列表） cbr:vaults:get（查询指定存储） cbr:vaults:list（查询存储库列表） cbr:vaults:create（创建存储库） cbr:vaults:addResources（添加资源） cbr:vaults:backup（执行备份） cbr:backups:list（查询备份列表） cbr:tasks:list（查询任务列表） cbr:tasks:get（查询单个任务） cbr:backups:delete（删除备份） cbr:backups:get（查询指定备份） cbr:vaults:delete（删除存储库） ims:wholeImages:create（制作整机镜像） ims:images:list（查询镜像列表） ims:images:delete（删除镜像） ims:images:get（查询镜像详情） ims:serverImages:create（制作镜像）

迁移中心 MGC 权限管理

智能数据洞察 DATAARTS INSIGHT-创建用户并授权使用:示例流程

示例流程图1 给用户授权DataArts Insight权限流程创建用户组并授权。在IAM控制台创建用户组，并授予DataArts Insight服务普通用户权限“DataArts Insight ReadOnlyAccess”。创建用户并加入用户组。在IAM控制台创建用户，并将其加入1中创建的用户组。用户登录并验证权限。使用新创建的用户登录控制台，切换至授权区域，验证权限：登录DataArts Insight管理控制台。如果在“数据集”页面可以查看数据集列表，但是无法创建数据集（假设当前权限仅包含DataArts Insight ReadOnlyAccess），表示“DataArts Insight ReadOnlyAccess”已生效。在“服务列表”中选择除登录DataArts Insight外（假设当前策略仅包含DataArts Insight ReadOnlyAccess）的任一服务，如果提示权限不足，表示“DataArts Insight ReadOnlyAccess”已生效。

智能数据洞察 DATAARTS INSIGHT 权限管理

云容器实例 CCI-CCI权限说明:命名空间权限

命名空间权限 Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding，这两种类型之间的关系和简要说明如下： ClusterRole：描述角色和权限的关系。在Kubernetes的RBAC API中，一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding：描述subjects（包含users，groups）和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户，该用户或用户组则具有对应绑定ClusterRole定义的权限。表1 RBAC API所定义的两种类型类型名称说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject（用户）绑定到某个具有特定权限的ClusterRole下，则此subject即具有该ClusterRole定义的权限。当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。

云容器实例 CCI 权限管理

专属主机 DEH-创建用户并授权使用DeH:示例流程

示例流程图1 给用户授权DeH权限流程创建用户组并授权在IAM控制台创建用户组，并授予专属主机权限“DeH ReadOnlyAccess”。创建用户并加入用户组在IAM控制台创建用户，并将其加入1.创建用户组并授权中创建的用户组。用户登录并验证权限新创建的用户登录控制台，切换至授权区域，验证权限：在“服务列表”中选择专属主机服务，进入DeH主界面，单击右上角“购买专属主机”，如果无法购买专属主机（假设当前权限仅包含DeH ReadOnlyAccess），表示“DeH ReadOnlyAccess”已生效。在“服务列表”中选择除专属主机服务外（假设当前策略仅包含ECS Viewer）的任一服务，若提示权限不足，表示“DeH ReadOnlyAccess”已生效。

专属主机 DEH 权限管理

云服务器内容精选

权限管理

7*24

备案

专业服务

退订

建议反馈

售前咨询热线