云服务器内容精选
-
示例流程 图1 给用户授权DMS for RocketMQ权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予DMS for RocketMQ的管理员权限“DMS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择分布式消息服务RocketMQ版,进入RocketMQ实例主界面,单击右上角“购买RocketMQ实例”,尝试购买RocketMQ实例,如果无法购买RocketMQ实例(假设当前权限仅包含DMS ReadOnlyAccess),表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘(假设当前策略仅包含DMS ReadOnlyAccess),若提示权限不足,表示“DMS ReadOnlyAccess”已生效。
-
DMS for RocketMQ自定义策略样例 如果系统预置的DMS for RocketMQ权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考细粒度策略支持的授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。本章为您介绍常用的DMS for RocketMQ自定义策略样例。 DMS for RocketMQ的权限与策略基于分布式消息服务DMS,因此在IAM服务中为DMS for RocketMQ分配用户与权限时,请选择并使用“DMS”的权限与策略。 示例1:授权用户删除实例和重启实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dms:instance:modifyStatus", "dms:instance:delete" ] } ] } 示例2:拒绝用户删除实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予DMS FullAccess的系统策略,但不希望用户拥有DMS FullAccess中定义的删除实例权限,您可以创建一条拒绝删除实例的自定义策略,然后同时将DMS FullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对DMS for RocketMQ执行除了删除实例外的所有操作。拒绝策略示例如下: { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dms:instance:delete" ] } ] }
-
DMS for RocketMQ请求条件 您可以在创建自定义策略时,通过添加“请求条件”(Condition元素)来控制策略何时生效。请求条件包括条件键和运算符,条件键表示策略语句的 Condition元素,分为全局级条件键和服务级条件键。全局级条件键(前缀为g:)适用于所有操作,服务级条件键(前缀为服务缩写,如dms:)仅适用于对应服务的操作。运算符与条件键一起使用,构成完整的条件判断语句。 DMS for RocketMQ通过IAM预置了一组条件键,例如,您可以先使用dms:ssl条件键检查RocketMQ实例是否开启SSL,然后再允许执行操作。下表显示了适用于DMS for RocketMQ服务特定的条件键。 表1 DMS for RocketMQ请求条件 DMS for RocketMQ条件键 运算符 描述 dms:publicIP Bool Null 是否开启公网 dms:ssl Bool Null 是否开启SSL
-
配置主机购买模板 场景 委托对象 自定义策略名称 细粒度最小使用权限 配置主机购买模板 MgC MgC PurchaseTemplateAgencyPolicy iam:projects:listProjects(查询租户项目) eps:enterpriseProjects:list(查看企业项目列表) vpc:subnets:get(查询子网列表或详情) vpc:securityGroups:get(查询安全组列表或详情)
-
跨可用区迁移 场景 委托对象 自定义策略名称 细粒度最小使用权限 跨可用区迁移 MgC MgC AzMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:flavors:get(查询云服务器规格) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServerQuotas:get(查询租户配额) ecs:servers:list(查询云服务器列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:servers:stop(关闭云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerNics:update(云服务器网卡配置私有IP) ecs:availabilityZones:list(查询可用区列表) ecs:servers:start(启动云服务器) ecs:cloudServers:changeNetworkInterface(更新云服务器指定网卡属性) vpc:publicIps:create(创建弹性公网IP) vpc:publicIps:update(更新弹性公网IP) vpc:subnets:get(查询子网列表或详情) vpc:networks:get(查询网络列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:publicIps:get(查询弹性公网IP详情) vpc:ports:get(查询端口列表或详情) vpc:ports:delete(删除端口) vpc:ports:update(更新端口) vpc:ports:create(创建端口) evs:types:get(查询云硬盘类型) evs:volumes:list(查询云硬盘列表) cbr:vaults:get(查询指定存储) cbr:vaults:list(查询存储库列表) cbr:vaults:create(创建存储库) cbr:vaults:addResources(添加资源) cbr:vaults:backup(执行备份) cbr:backups:list(查询备份列表) cbr:tasks:list(查询任务列表) cbr:tasks:get(查询单个任务) cbr:backups:delete(删除备份) cbr:backups:get(查询指定备份) cbr:vaults:delete(删除存储库) ims:wholeImages:create(制作整机镜像) ims:images:list(查询镜像列表) ims:images:delete(删除镜像) ims:images:get(查询镜像详情) ims:serverImages:create(制作镜像)
-
主机迁移工作流 场景 委托对象 自定义策略名称 细粒度最小使用权限 主机迁移工作流 MgC MgC ServerMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:createServers(创建云服务器) sms:server:migrationServer(迁移源端服务器) sms:server:queryServer(查看源端服务器) ecs:cloudServers:list(查看云服务器列表) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerQuotas:get(查询租户配额) vpc:publicIps:create(创建弹性公网IP)
-
购买资源 场景 委托对象 自定义策略名称 细粒度最小使用权限 购买资源 MgC MgC PurchaseAgencyPolicy eps:resources:add(企业项目资源迁入) ecs:cloudServers:createServers(创建云服务器) evs:volumes:list(查询云硬盘列表) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:cloudServers:createServers(创建云服务器) vpc:publicIps:update(更新弹性公网IP) vpc:publicIps:create(创建弹性公网IP)
-
创建迁移集群 场景 委托对象 自定义策略名称 细粒度最小使用权限 创建迁移集群 OMS OMS ObsMigrationAgencyPolicy ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:deleteServers(删除云服务器) ecs:cloudServers:list(查询云服务器详情列表) nat:natGateways:create(创建NAT网关) nat:natGateways:get(查询NAT网关详情) nat:natGateways:delete(删除NAT网关) nat:snatRules:create(创建SNAT规则) nat:snatRules:get(查询SNAT规则详情) nat:dnatRules:list(查询DNAT规则列表) nat:snatRules:list(查询SNAT规则列表) nat:snatRules:delete(删除SNAT规则) nat:natGateways:list(查询NAT网关列表) vpc:securityGroups:create(创建安全组) vpc:securityGroups:delete(删除安全组) vpc:securityGroups:get(查询安全组列表或详情) vpc:securityGroupRules:create(创建安全组规则) vpc:securityGroupRules:get(查询安全组规则列表或详情) vpc:securityGroupRules:delete(删除安全组规则) vpc:securityGroups:get(查询安全组列表或详情) vpcep:epservices:create(创建终端节点服务) vpcep:epservices:get(查询终端节点服务详情) vpcep:permissions:list(查询终端节点服务的白名单列表) vpcep:connections:list(查询连接终端节点服务的连接列表) vpcep:epservices:list(查询终端节点服务列表) vpcep:epservices:delete(删除终端节点服务) vpcep:endpoints:create(创建终端节点) vpcep:endpoints:list(查询终端节点列表) vpcep:endpoints:get(查询终端节点详情) vpcep:endpoints:delete(删除终端节点) vpcep:connections:update(接受或拒绝终端节点的连接) vpcep:permissions:update(批量添加或移除终端节点服务的白名单) lts:topics:get(查询指定日志主题) lts:topics:create(创建日志主题) lts:topics:list(查询日志主题列表) lts:topics:delete(删除指定日志主题) lts:*:*(所有主机组相关的操作) lts:groups:create(创建日志组) lts:groups:get(查询指定日志组) lts:groups:delete(删除指定日志组) aom:*:*(aom的所有权限) apm:icmgr:*(apm采集组件的所有权限) ECS ECS ObsMigrationAgencyPolicy apm:icmgr:*(apm采集组件的所有权限)
-
PG_USER_MAPPING PG_USER_MAPPING系统表存储从本地用户到远程的映射。 需要有系统管理员权限才可以访问此系统表。普通用户可以使用视图PG_USER_MAPPINGS进行查询。 表1 PG_USER_MAPPING字段 名称 类型 引用 描述 oid oid - 行标识符(隐含属性,必须明确选择)。 umuser oid PG_AUTHID.oid 被映射的本地用户的OID,如果用户映射是公共的则为0。 umserver oid PG_FOREIGN_SERVER.oid 包含这个映射的外部服务器的OID。 umoptions text[] - 用户映射指定选项,使用“keyword=value”格式的字符串。 父主题: 用户和权限管理
-
PG_SHADOW PG_SHADOW视图显示了所有在PG_AUTHID中标记了rolcanlogin的角色的属性,只有系统管理员权限才可以访问此系统视图。 该视图的信息与PG_USER是基本一致的,区别在于后者对密码做了敏感化处理,统一显示为********。 表1 PG_SHADOW字段 名称 类型 引用 描述 usename name PG_AUTHID.rolname 用户名。 usesysid oid PG_AUTHID.oid 用户的ID。 usecreatedb boolean - 用户是否可以创建数据库。 t(true):表示是。 f(false):表示否。 usesuper boolean - 用户是否是系统管理员。 t(true):表示是。 f(false):表示否。 usecatupd boolean - 用户是否可以更新视图。即使是系统管理员,如果这个字段值不是t,也不能更新视图。 t(true):表示是。 f(false):表示否。 userepl boolean - 用户是否可以复制数据流。 t(true):表示是。 f(false):表示否。 passwd text PG_AUTHID.rolpassword 密码密文,如果没有密码,则为NULL。 valbegin timestamp with time zone - 账户的有效开始时间。如果没有设置有效开始时间,则为NULL。 valuntil timestamp with time zone - 账户的有效结束时间。如果没有设置有效结束时间,则为NULL。 respool name - 用户所在的资源池。 parent oid - 父用户OID。 spacelimit text - 永久表存储空间的限额,单位KB。 useconfig text[] PG_DB_ROLE_SETTING.setconfig 运行时配置项的默认值。 tempspacelimit text - 临时表存储空间的限额,单位KB。 spillspacelimit text - 算子落盘空间的限额,单位KB。 usemonitoradmin boolean - 用户是否是监控管理员。 t(true):表示是。 f(false):表示否。 useoperatoradmin boolean - 用户是否是运维管理员。 t(true):表示是。 f(false):表示否。 usepolicyadmin boolean - 用户是否是安全策略管理员。 t(true):表示是。 f(false):表示否。 父主题: 用户和权限管理
-
PG_USER_MAPPINGS PG_USER_MAPPINGS视图显示用户映射的信息。 该视图只是系统表PG_USER_MAPPING可读部分的视图化表现,如果用户无权使用系统表且查询该视图时,有些选项字段会显示为空。普通用户需要授权才可以访问。 表1 PG_USER_MAPPINGS字段 名称 类型 引用 描述 umid oid PG_USER_MAPPING.oid 用户映射的OID。 srvid oid PG_FOREIGN_SERVER.oid 包含这个映射的外部服务器的OID。 srvname name PG_FOREIGN_SERVER.srvname 外部服务器的名称。 umuser oid PG_AUTHID.oid 被映射的本地角色的OID,如果用户映射是公共的则为0。 usename name - 被映射的本地用户的名称。 umoptions text[] - 如果当前用户是外部服务器的所有者,则为用户映射指定选项,使用“keyword=value”字符串,否则为NULL。 父主题: 用户和权限管理
-
PG_SHADOW PG_SHADOW视图显示了所有在PG_AUTHID中标记了rolcanlogin的角色的属性,只有系统管理员权限才可以访问此系统视图。 该视图的信息与PG_USER是基本一致的,区别在于后者对密码做了敏感化处理,统一显示为********。 表1 PG_SHADOW字段 名称 类型 引用 描述 usename name PG_AUTHID.rolname 用户名。 usesysid oid PG_AUTHID.oid 用户的ID。 usecreatedb boolean - 用户是否可以创建数据库。 t(true):表示是。 f(false):表示否。 usesuper boolean - 用户是否是系统管理员。 t(true):表示是。 f(false):表示否。 usecatupd boolean - 用户是否可以更新视图。即使是系统管理员,如果该字段值为假,也不能更新视图。 userepl boolean - 用户是否可以复制数据流。 t(true):表示是。 f(false):表示否。 passwd text PG_AUTHID.rolpassword 密码密文,如果没有密码,则为NULL。 valbegin timestamp with time zone - 账户的有效开始时间。如果没有设置有效开始时间,则为NULL。 valuntil timestamp with time zone - 账户的有效结束时间。如果没有设置有效结束时间,则为NULL。 respool name - 用户所在的资源池。 parent oid - 父用户OID。 spacelimit text - 永久表的存储空间限额,单位KB。 useconfig text[] PG_DB_ROLE_SETTING.setconfig 运行时配置项的默认值。 tempspacelimit text - 临时表的存储空间限额,单位KB。 spillspacelimit text - 算子的落盘空间限额,单位KB。 usemonitoradmin boolean - 用户是否是监控管理员。 t(true):表示是。 f(false):表示否。 useoperatoradmin boolean - 用户是否是运维管理员。 t(true):表示是。 f(false):表示否。 usepolicyadmin boolean - 用户是否是安全策略管理员。 t(true):表示是。 f(false):表示否。 父主题: 用户和权限管理
-
GS_DB_PRIVILEGES GS_DB_PRIVILEGES系统视图记录ANY权限的授予情况,每条记录对应一条授权信息。 表1 GS_DB_PRIVILEGES字段 名称 类型 描述 rolename name 用户名。 privilege_type text 用户拥有的ANY权限,取值请参见表1。 admin_option text 是否具有privilege_type列记录的ANY权限的再授权权限。 yes:具有。 no:不具有。 父主题: 用户和权限管理
-
PG_ROLES PG_ROLES视图显示数据库角色的相关信息。初始化用户和具有sysadmin属性或createrole属性的用户可以查看全部角色的信息,其他用户只能查看自己的信息。 表1 PG_ROLES字段 名称 类型 引用 描述 rolname name - 角色名称。 rolsuper boolean - 该角色是否是拥有最高权限的初始系统管理员。 t(true):是。 f(false):否。 rolinherit boolean - 该角色是否继承角色的权限。 t(true):是。 f(false):否。 rolcreaterole boolean - 该角色是否可以创建其他的角色。 t(true):是。 f(false):否。 rolcreatedb boolean - 该角色是否可以创建数据库。 t(true):是。 f(false):否。 rolcatupdate boolean - 该角色是否可以直接更新系统表。只有usesysid=10的初始系统管理员拥有此权限。其他用户无法获得此权限。 t(true):是。 f(false):否。 rolcanlogin boolean - 该角色是否可以登录数据库。 t(true):是。 f(false):否。 rolreplication boolean - 该角色是否可以复制。 t(true):是。 f(false):否。 rolauditadmin boolean - 该角色是否为审计管理员。 t(true):是。 f(false):否。 rolsystemadmin boolean - 该角色是否为系统管理员。 t(true):是。 f(false):否。 rolconnlimit integer - 对于可以登录的角色,此字段限制了该角色允许发起的最大并发连接数。 -1表示无限制。 rolpassword text - 密文存储后的用户密码,始终为********。 rolvalidbegin timestamp with time zone - 账户的有效开始时间。如果没有设置有效开始时间,则为NULL。 rolvaliduntil timestamp with time zone - 账户的有效结束时间。如果没有设置有效结束时间,则为NULL。 rolrespool name - 用户所能够使用的resource pool。 rolparentid oid PG_AUTHID.rolparentid 用户所在组用户的OID。 roltabspace text - 用户永久表存储空间限额,单位KB。 rolconfig text[] PG_DB_ROLE_SETTING.setconfig 运行时配置项的默认值。 oid oid PG_AUTHID.oid 角色的ID。 roluseft boolean PG_AUTHID.roluseft 角色是否可以操作外表。 t(true):是。 f(false):否。 rolkind "char" - 角色类型。 n:普通用户,即非永久用户。 p:永久用户。 roltempspace text - 用户临时表存储空间的限额,单位KB。 rolspillspace text - 用户算子落盘空间的限额,单位KB。 rolmonitoradmin boolean - 该角色是否为监控管理员。 t(true):是。 f(false):否。 roloperatoradmin boolean - 该角色是否为运维管理员。 t(true):是。 f(false):否。 rolpolicyadmin boolean - 该角色是否为安全策略管理员。 t(true):是。 f(false):否。 父主题: 用户和权限管理
-
MY_ROLE_PRIVS MY_ROLE_PRIVS视图显示授予当前用户角色(包括public角色)的权限的信息。默认所有用户都可以访问。该视图同时存在于PG_CATALOG和SYS Schema下。 表1 MY_ROLE_PRIVS字段 名称 类型 描述 grantee character varying(128) 被授予权限的用户或角色名称。 granted_role character varying(128) 被授予的角色。 admin_option character varying(3) 该授权是否包含ADMIN选项。 YES:包含ADMIN选项。 NO:不包含ADMIN选项。 delegate_option character varying(3) 暂不支持,值为NULL。 default_role character varying(3) 暂不支持,值为NULL。 os_granted character varying(3) 暂不支持,值为NULL。 common character varying(3) 暂不支持,值为NULL。 inherited character varying(3) 暂不支持,值为NULL。 父主题: 用户和权限管理
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
