云服务器内容精选
-
创建用户并授权使用云桌面 操作场景 如果需要对您所拥有的Workspace资源进行精细的权限管理,可以使用统一身份认证服务(Identity and Access Management,简称IAM)。通过IAM,您可以: 根据企业的业务组织,在您的华为账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用Workspace云桌面。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用云桌面的其他功能。 本章节以授予“Workspace ReadOnlyAccess”权限为例介绍为用户授权的方法 前提条件 给用户组授权之前,请您了解用户组可以添加的Workspace权限,并结合实际需求进行选择。若您需要对除Workspace之外的其他服务授权,IAM支持服务的所有权限请参见:系统权限。 示例流程 创建用户组并授权。 在IAM控制台创建用户组,并授予Workspace服务只读权限“Workspace ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限(假设当前权限仅包含Workspace ReadOnlyAccess)。 在“服务列表”中选择云桌面服务,进入桌面管理界面,执行除查询以外的其他操作,如:开关机、重启、创建、修改、删除等。 示例:对桌面进行开机或关机操作,若提示权限不足,表示“Workspace ReadOnlyAccess”已生效。 在“服务列表”中选择除云桌面服务外的任意一个服务,如“虚拟私有云”,若提示权限不足,表示“Workspace ReadOnlyAccess”已生效。 父主题: 权限管理
-
查看DWS集群guest agent版本 登录GaussDB(DWS) 管理控制台,进入“集群管理”,在集群列表中找到所需要的集群。 按下F12,打开开发者调试工具,然后选择Network功能。 图1 选择Network 在DWS控制台中,单击待查看的DWS集群名称,进入集群“基本信息”页面。然后在开发者调试工具的Network请求中,寻找Name形如“clusters?type=xxxxxx”的长字符串并单击,在右侧区域中选择“Preview”,依次展开字段,查找“guest_agent_version”字段,其值即为DWS集群的guest agent版本。 图2 查找“guest_agent_version”字段 如果非所需版本,请联系DWS服务客服或技术支持人员。
-
使用前检查checklist 表1 使用前检查checklist 检查项 是否必选 检查内容 配置指导 数据连接Agent版本 MRS/DWS权限管理时必选 CDM集群为2.10.0.300及以上版本。 登录CDM管理控制台,进入“集群管理”,在集群列表中找到所需要的集群,然后单击集群名称,进入集群“基本信息”页面查看集群版本号。 如果非所需版本,请创建最新版本CDM集群或联系客服或技术支持人员。 Ranger组件配置 MRS权限管理时必选 MRS非安全集群Ranger组件开启同步ldap用户功能。 MRS非安全集群,由于Ranger组件默认同步unix用户, 不会同步Manager上的用户/用户组/角色,因此需要切换用户同步策略。操作详情请参考配置Ranger组件。 Ranger连接用户权限 连接中的用户具备Ranger组件Admin权限。 Ranger连接中的用户需要具备Ranger组件Admin权限,操作详情请参考准备Ranger Admin用户。 DWS集群guest_agent版本 DWS权限管理时必选 DWS集群guest_agent版本为8.2.1,或在8.2.1以上、9.0.0以下 DWS集群guest agent版本号需要通过开发者调试工具查看,操作详情请参考查看DWS集群guest agent版本。 DWS连接用户权限 非三权分立模式,连接中的用户至少需具备数据库dbadmin权限, 三权分立模式,连接中的用户需具备系统管理员权限。 非三权分立模式,参考数据库用户设置dbadmin管理员用户。 三权分立模式,参考设置三权分立设置系统管理员用户。
-
ACL 桶/对象ACL支持授权给如下用户读写权限: 表1 OBS支持的被授权用户 被授权用户 描述 拥有者 桶的拥有者是指创建桶的账号。桶拥有者默认拥有所有的桶访问权限,其中桶ACL的读取和写入这两种权限永远拥有,且不支持修改。 对象的拥有者是上传对象的账号,而不是对象所属的桶的拥有者。对象拥有者默认永远拥有对象读取权限、ACL的读取和写入权限,且不支持修改。 须知: 不建议修改桶拥有者的对桶读取和写入权限。 匿名用户 未注册云服务的普通访客。如果匿名用户被授予了访问桶/对象的权限,则表示所有人都可以访问对应的桶/对象,并且不需要经过任何身份认证。 须知: 开启匿名用户的桶/对象访问权限后,所有人都可以在不经过身份认证的情况下,对桶/对象进行访问。 注册用户组 注册用户组代表所有注册了云服务的账号(仅指账号,不包括通过IAM创建的用户组或用户)。注册用户必须要经过身份认证(目前主要通过AK/SK进行身份认证),才可以获取对应的访问权限。例如,当注册用户组被授予桶写入权限后,世界上任何已通过身份验证的云服务账号,都可以向您的桶上传、覆盖和删除对象。 日志投递用户组 说明: 仅桶ACL支持。 日志投递用户组用于投递OBS桶及对象的访问日志。由于OBS本身不能在账号的桶中创建或上传任何文件,因此在需要为桶记录访问日志时,只能由账号授予日志投递用户组一定权限后,OBS才能将访问日志写入指定的日志存储桶中。该用户组仅用于OBS内部的日志记录。 须知: 当日志记录开启后,目标存储桶的日志投递用户组会同步开启桶的写入权限和ACL读取权限。如果手动将日志投递用户组的桶写入权限和ACL读取权限关闭,桶的日志记录会失败。 桶ACL的访问权限如表2所示: 表2 桶ACL访问权限 权限 选项 描述 桶访问权限 读取权限 此权限可以获取该桶内对象列表和桶的元数据。 写入权限 此权限可以上传、覆盖和删除该桶内任何对象。 ACL访问权限 读取权限 此权限可以获取对应的桶的权限控制列表。 桶的拥有者默认永远具有ACL的读取权限。 写入权限 此权限可以更新对应桶的权限控制列表。 桶的拥有者默认永远具有ACL的写入权限。 对象ACL的访问权限如表3所示: 表3 对象ACL访问权限 权限 选项 描述 对象访问权限 读取权限 此权限可以获取该对象内容和元数据。 ACL访问权限 读取权限 此权限可以获取对应的对象的权限控制列表。 对象的拥有者默认永远具有ACL的读取权限 写入权限 此权限可以更新对象的权限控制列表。 对象的拥有者默认永远具有ACL的写入权限。 每一次对桶/对象的授权操作都将覆盖桶/对象已有的权限列表,而不会对其新增权限。
-
原因 通过桶策略给IAM用户配置桶的读写权限后,实际上授予的权限如下: GetObject:下载对象 GetObjectVersion:下载多版本对象 PutObject:上传对象 DeleteObject:删除对象 DeleteObjectVersion:删除多版本对象 上述每一个权限对应一个OBS功能接口,IAM用户使用API或SDK可以正常调用这些接口。但是通过控制台或者客户端工具(OBS Browser+)登录时,加载桶列表时会调用获取桶列表(ListAllMyBuckets)等接口,加载对象列表时会调用列举桶内对象(ListBucket)等接口,其他页面也会调用其他的OBS接口。而授予的读写权限中并没有包含这些操作的权限,所以会提示“拒绝访问,请检查响应权限”,或者“不允许在请求的资源上执行此操作”。
-
主机迁移工作流 场景 委托对象 自定义策略名称 细粒度最小使用权限 主机迁移工作流 MgC MgC ServerMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:createServers(创建云服务器) sms:server:migrationServer(迁移源端服务器) sms:server:queryServer(查看源端服务器) ecs:cloudServers:list(查看云服务器列表) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息)
-
购买资源 场景 委托对象 自定义策略名称 细粒度最小使用权限 购买资源 MgC MgC PurchaseAgencyPolicy eps:resources:add(企业项目资源迁入) ecs:cloudServers:createServers(创建云服务器) evs:volumes:list(查询云硬盘列表) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:cloudServers:createServers(创建云服务器) vpc:publicIps:update(更新弹性公网IP) vpc:publicIps:create(创建弹性公网IP)
-
创建迁移集群 场景 委托对象 自定义策略名称 细粒度最小使用权限 创建迁移集群 OMS OMS ObsMigrationAgencyPolicy ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:showServer(查询云服务器详情) ecs:cloudServers:deleteServers(删除云服务器) ecs:cloudServers:list(查询云服务器详情列表) nat:natGateways:create(创建NAT网关) nat:natGateways:get(查询NAT网关详情) nat:natGateways:delete(删除NAT网关) nat:snatRules:create(创建SNAT规则) nat:snatRules:get(查询SNAT规则详情) nat:dnatRules:list(查询DNAT规则列表) nat:snatRules:list(查询SNAT规则列表) nat:snatRules:delete(删除SNAT规则) nat:natGateways:list(查询NAT网关列表) vpc:securityGroups:create(创建安全组) vpc:securityGroups:delete(删除安全组) vpc:securityGroups:get(查询安全组列表或详情) vpc:securityGroupRules:create(创建安全组规则) vpc:securityGroupRules:get(查询安全组规则列表或详情) vpc:securityGroupRules:delete(删除安全组规则) vpc:securityGroups:get(查询安全组列表或详情) vpcep:epservices:create(创建终端节点服务) vpcep:epservices:get(查询终端节点服务详情) vpcep:permissions:list(查询终端节点服务的白名单列表) vpcep:connections:list(查询连接终端节点服务的连接列表) vpcep:epservices:list(查询终端节点服务列表) vpcep:epservices:delete(删除终端节点服务) vpcep:endpoints:create(创建终端节点) vpcep:endpoints:list(查询终端节点列表) vpcep:endpoints:get(查询终端节点详情) vpcep:endpoints:delete(删除终端节点) vpcep:connections:update(接受或拒绝终端节点的连接) vpcep:permissions:update(批量添加或移除终端节点服务的白名单) lts:topics:get(查询指定日志主题) lts:topics:create(创建日志主题) lts:topics:list(查询日志主题列表) lts:topics:delete(删除指定日志主题) lts:*:*(所有主机组相关的操作) lts:groups:create(创建日志组) lts:groups:get(查询指定日志组) lts:groups:delete(删除指定日志组) aom:*:*(aom的所有权限) apm:icmgr:*(apm采集组件的所有权限) ECS ECS ObsMigrationAgencyPolicy apm:icmgr:*(apm采集组件的所有权限)
-
配置主机购买模板 场景 委托对象 自定义策略名称 细粒度最小使用权限 配置主机购买模板 MgC MgC PurchaseTemplateAgencyPolicy iam:projects:listProjects(查询租户项目) eps:enterpriseProjects:list(查看企业项目列表) vpc:subnets:get(查询子网列表或详情) vpc:securityGroups:get(查询安全组列表或详情)
-
跨可用区迁移 场景 委托对象 自定义策略名称 细粒度最小使用权限 跨可用区迁移 MgC MgC AzMigrationAgencyPolicy ecs:cloudServers:showServer(查询云服务器详情) ecs:flavors:get(查询云服务器规格) ecs:cloudServerFlavors:get(查询云服务器规格详情和扩展信息列表) ecs:cloudServerQuotas:get(查询租户配额) ecs:servers:list(查询云服务器列表) ecs:cloudServers:list(查询云服务器详情列表) ecs:servers:stop(关闭云服务器) ecs:cloudServers:listServerInterfaces(查询云服务器网卡信息) ecs:cloudServers:createServers(创建云服务器) ecs:cloudServers:listServerBlockDevices(查询弹性云服务器磁盘信息) ecs:cloudServerNics:update(云服务器网卡配置私有IP) vpc:publicIps:create(创建弹性公网IP) vpc:publicIps:update(更新弹性公网IP) vpc:subnets:get(查询子网列表或详情) vpc:networks:get(查询网络列表或详情) vpc:publicIps:list(查询弹性公网IP) vpc:publicIps:get(查询弹性公网IP详情) evs:types:get(查询云硬盘类型) evs:volumes:list(查询云硬盘列表) cbr:vaults:get(查询指定存储) cbr:vaults:list(查询存储库列表) cbr:vaults:create(创建存储库) cbr:vaults:addResources(添加资源) cbr:vaults:backup(执行备份) cbr:backups:list(查询备份列表) cbr:tasks:list(查询任务列表) cbr:tasks:get(查询单个任务) cbr:backups:delete(删除备份) cbr:backups:get(查询指定备份) cbr:vaults:delete(删除存储库) ims:wholeImages:create(制作整机镜像) ims:images:list(查询镜像列表) ims:images:delete(删除镜像) ims:images:get(查询镜像详情) ims:serverImages:create(制作镜像)
-
解决方案 方法一:使用主账号重新创建一次任务,主账号默认有Security Administrator权限,可在创建任务后将委托创建出来。 方法二:使用主账号在子账号所在的用户组添加Security Administrator权限后,重新创建任务。添加权限的具体操作请参见:创建用户并授权使用DRS。 方法三:手动添加“账户委托”,添加步骤如下: 使用主账号登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 在统一身份认证页面,单击左侧导航窗格中“委托”,进入“委托”页面。 在“委托”页面,单击右上方的“+创建委托”进行委托创建。 填写委托名称为“DRS_AGENTCY” ,委托类型为 “普通账号”时, 委托的账号为 “op_svc_rds”;委托类型为“云服务”时,选择“关系型数据库MySQL”;持续时间为“永久”,完成后单击“下一步”。 图1 创建委托 在“选择策略”页面,选择DRS_AGENTCY的授权策略,委托权限需配置全局的 Tenant Administrator,完成后单击右下角的“下一步”。 图2 选择策略 在“设置最小授权范围”页面,先选择全局服务资源授权后,再基于指定区域设置最小授权范围,完成后单击右下角的“确定”。 图3 全局服务资源授权 图4 指定区域项目授权 授权完成后,单击委托名称,在“授权记录”中可看到全局服务和指定区域两条授权记录。 图5 授权记录 权限生效时间提醒,您选中的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效,权限生效后重新创建即可。
-
前提条件 给用户组授权之前,请您了解用户组可以添加的CFW权限,并结合实际需求进行选择,CFW支持的系统权限如表1所示。若您需要对除CFW之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无
-
示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予CFW只读权限“CFW ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云防火墙,进入CFW主界面,单击“购买云防火墙”,尝试购买云防火墙,如果无法购买云防火墙(假设当前权限仅包含CFW FullAccess),表示“CFW FullAccess”已生效。 在“服务列表”中选择除CFW外(假设当前策略仅包含“CFW FullAccess”)的任一服务,若提示权限不足,表示“CFW FullAccess”已生效。
-
开发者联调权限 联调环境支持在项目下统一配置项目下各角色的默认权限,涉及的模块包括:集群(基础设施)、配置中心、服务模板、环境实例。 初始状态下,项目下各角色具有的开发者联调权限如下表所示: 表5 集群 角色 查看 创建 修改 删除 项目创建者 √ √ √ √ 项目经理 √ √ √ √ 开发人员 √ √ √ × 测试经理 √ √ √ × 测试人员 √ √ √ × 参与者 √ × × × 浏览者 √ × × × 运维经理 √ √ √ √ 产品经理 √ √ √ × 系统工程师 √ √ √ × Committer √ √ √ √ 表6 配置中心 角色 查看 创建 修改 删除 项目创建者 √ √ √ √ 项目经理 √ √ √ √ 开发人员 √ √ √ √ 测试经理 √ √ √ √ 测试人员 √ √ √ √ 参与者 √ × × × 浏览者 √ × × × 运维经理 √ √ √ √ 产品经理 √ √ √ √ 系统工程师 √ √ √ √ Committer √ √ √ √ 表7 服务模板 角色 查看 创建 修改 删除 项目创建者 √ √ √ √ 项目经理 √ √ √ √ 开发人员 √ √ √ × 测试经理 √ √ √ × 测试人员 √ √ √ × 参与者 √ × × × 浏览者 √ × × × 运维经理 √ √ √ √ 产品经理 √ √ √ √ 系统工程师 √ √ √ √ Committer √ √ √ √ 表8 环境实例 角色 查看 创建 修改 删除 运维 项目创建者 √ √ √ √ √ 项目经理 √ √ √ √ √ 开发人员 √ √ √ × √ 测试经理 √ √ √ × √ 测试人员 √ √ √ × √ 参与者 √ × × × × 浏览者 √ × × × × 运维经理 √ √ √ √ √ 产品经理 √ √ √ √ √ 系统工程师 √ √ √ √ √ Committer √ √ √ √ ×
-
策略权限 初始状态下,项目下各角色具有的项目级策略权限如下表所示: 角色 查看 创建 修改 删除 项目创建者 √ √ √ √ 项目经理 √ √ √ √ 开发人员 √ √ √ √ 测试经理 √ × × × 测试人员 √ × × × 参与者 √ × × × 浏览者 √ × × × 运维经理 √ × × × 产品经理 √ × × × 系统工程师 √ √ √ √ Committer √ √ √ √ 复制策略需要同时具有创建策略及修改源策略的权限。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
