云服务器内容精选
-
Lite Server权限 表1 Lite Server细化权限说明 权限 对应API接口 授权项 依赖的授权项 IAM 项目 企业项目 查询用户所有Lite Server实例列表 GET /v1/{project_id}/dev-servers modelarts:devserver:listByUser - √ × 创建Lite Server POST /v1/{project_id}/dev-servers modelarts:devserver:create vpc:networks:list vpc:networks:get vpc:securityGroups:get vpc:securityGroups:list vpc:subnets:get vpc:subnets:list vpc:vpcs:get vpc:vpcs:list evs:volumes:list evs:volumes:get evs:types:get evs:quotas:get bms:servers:create bms:servers:showBaremetalServer(bms:servers:get) bms:servers:list bms:serverQuotas:get bms:servers:updateMetadata ecs:servers:lock ecs:servers:unlock ecs:cloudServers:createServers ecs:cloudServerQuotas:get ecs:cloudServers:listServersDetails(ecs:cloudServers:list) ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:flavors:get ecs:cloudServerFlavors:get ecs:cloudServers:deleteServers(ecs:cloudServers:delete) IMS ecs:servers:list ecs:servers:get ims:images:get kps:SSHKeyPair:get √ × 查询Lite Server实例详情 GET /v1/{project_id}/dev-servers/{id} modelarts:devserver:get - √ × 删除Lite Server实例 DELETE /v1/{project_id}/dev-servers/{id} modelarts:devserver:delete bms:servers:showBaremetalServer(bms:servers:get) bms:servers:reInstallOS bms:servers:list ecs:cloudServers:listServersDetails(ecs:cloudServers:list) ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:cloudServers:deleteServers(ecs:cloudServers:delete) vpc:ports:list √ × 实时同步用户所有Lite Server实例状态 PUT /v1/{project_id}/dev-servers/sync modelarts:devserver:sync ecs:servers:lock ecs:servers:get ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get √ × 启动Lite Server实例 PUT /v1/{project_id}/dev-servers/{id}/start modelarts:devserver:start bms:servers:showBaremetalServer(bms:servers:get) bms:servers:start ecs:servers:lock ecs:servers:unlock ecs:servers:get ecs:cloudServers:start ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get vpc:ports:list √ × 停止Lite Server实例 PUT /v1/{project_id}/dev-servers/{id}/stop modelarts:devserver:stop bms:servers:showBaremetalServer(bms:servers:get) bms:servers:stop ecs:servers:lock ecs:servers:unlock ecs:servers:list ecs:servers:get ecs:cloudServers:stop ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get vpc:ports:list √ × 创建Lite Server超节点标签 POST /v1/{project_id}/dev-servers/hyperinstance/{id}/tags/create modelarts:devserver:createHyperinstanceTags - √ × 删除Lite Server超节点标签。 POST /v1/{project_id}/dev-servers/hyperinstance/{id}/tags/delete modelarts:devserver:deleteHyperinstanceTags - √ × 查询Lite Server超节点标签。 GET /v1/{project_id}/dev-servers/hyperinstance/{id}/tags modelarts:devserver:queryHyperinstanceTags - √ × 重装Lite Server服务器操作系统镜像。 POST /v1/{project_id}/dev-servers/{id}/reinstallos modelarts:devserver:reinstallOS bms:servers:showBaremetalServer(bms:servers:get) bms:servers:reInstallOS ecs:servers:lock ecs:servers:get ecs:cloudServers:rebuild ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get kps:SSHKeyPair:get √ × 切换Lite Server服务器操作系统镜像。 POST /v1/{project_id}/dev-servers/{id}/changeos modelarts:devserver:changeOS bms:servers:showBaremetalServer(bms:servers:get) bms:servers:changeOS ecs:servers:lock ecs:servers:get ecs:cloudServers:changeOS ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get kps:SSHKeyPair:get √ × 切换Lite Server超节点服务器操作系统镜像。 POST /v1/{project_id}/dev-servers/hyperinstance/{id}/changeos modelarts:devserver:changeHyperinstanceOS kps:SSHKeyPair:get √ × 查询用户所有超节点实例详情 GET /v1/{project_id}/dev-servers/hyperinstance modelarts:devserver:listHyperinstanceByUser - √ × 删除Lite Server超节点实例 DELETE /v1/{project_id}/dev-servers/hyperinstance/{id} modelarts:devserver:deleteHyperinstance - √ × 重启Lite Server实例 PUT /v1/{project_id}/dev-servers/{id}/reboot modelarts:devserver:reboot bms:servers:showBaremetalServer(bms:servers:get) bms:servers:reboot ecs:servers:get ecs:cloudServers:reboot ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get √ × 启动Lite Server超节点实例 PUT /v1/{project_id}/dev-servers/hyperinstance/{id}/start modelarts:devserver:startHyperinstance - √ × 停止Lite Server超节点实例 PUT /v1/{project_id}/dev-servers/hyperinstance/{id}/stop modelarts:devserver:stopHyperinstance - √ × 查询租户Lite Server列表 GET /v1/{project_id}/dev-servers/all modelarts:devserver:list - √ × 查询Lite Server镜像详情 GET /v1/{project_id}/dev-servers/images/{id} modelarts:devserver:getImage - √ × 获取Lite Server镜像列表 GET /v1/{project_id}/dev-servers/images modelarts:devserver:listImages - √ × 批量删除Lite Server Job DELETE /v1/{project_id}/dev-servers/jobs modelarts:devserver:deleteJobs - √ × 卸载数据盘 DELETE /v1/{project_id}/dev-servers/{id}/detachvolume/{volume_id} modelarts:devserver:detachVolume - √ × 获取Lite Server规格列表 GET /v1/{project_id}/dev-servers/flavors modelarts:devserver:listFlavors - √ × 查询租户所有Lite Server超节点实例详情 GET /v1/{project_id}/dev-servers/hyperinstance/all modelarts:devserver:listHyperinstance - √ × 查询指定超节点实例详情 GET /v1/{project_id}/dev-servers/hyperinstance/{id} modelarts:devserver:getHyperinstance - √ × 查询Lite Server超节点Operation详情 GET /v1/{project_id}/dev-servers/hyperinstance/{id}/operation/{operation_id} modelarts:devserver:getHyperinstanceOperation - √ × 查询Lite Server实例对应的TOR交换机IP GET /v1/{project_id}/dev-servers/instance-physical-topologies modelarts:devserver:getTopologies - √ × 查询Lite Server Job列表 GET /v1/{project_id}/dev-servers/jobs modelarts:devserver:listJobs - √ × 查询Lite Server Job详情 GET /v1/{project_id}/dev-servers/jobs/{id} modelarts:devserver:getJob - √ × 查询Lite Server Operation详情 GET /v1/{project_id}/dev-servers/{id}/operation/{operation_id} modelarts:devserver:getOperation - √ × 查询已绑定的EIP GET /v1/{project_id}/dev-servers/{id}/publicips modelarts:devserver:listPublicIP - √ × 扩容Lite Server超节点实例 POST /v1/{project_id}/dev-servers/hyperinstance/{id}/live-scale-up modelarts:devserver:scaleUpHyperinstance - √ × 提交Lite Server Job POST /v1/{project_id}/dev-servers/jobs modelarts:devserver:createJob - √ × 创建RoCE网络 POST /v1/{project_id}/dev-servers/networks modelarts:devserver:createRoceNetwork vpc:networks:create vpc:networks:list vpc:networks:get √ × 挂载数据盘 POST /v1/{project_id}/dev-servers/{id}/attachvolume modelarts:devserver:attachVolume evs:volumes:get √ × 绑定EIP POST /v1/{project_id}/dev-servers/{id}/publicips modelarts:devserver:bindPublicIP eip:publicIps:get √ × 查询超节点hyperinstance-clusters逻辑容量测算结果 POST /v1/{project_id}/dev-servers/hyperinstance/cluster-capacity-evaluations modelarts:devserver:listHyperinstanceClustersCapacity - √ × 创建hyper-cluster POST /v1/{project_id}/dev-servers/hyper-clusters modelarts:devserver:createHyperCluster - √ × 查询hyper-cluster列表 GET /v1/{project_id}/dev-servers/hyper-clusters modelarts:devserver:listHyperCluster - √ × 查询hyper-cluster详情 GET /v1/{project_id}/dev-servers/hyper-clusters/{id} modelarts:devserver:getHyperCluster - √ × 刪除hyper-cluster DELETE /v1/{project_id}/dev-servers/hyper-clusters/{id} modelarts:devserver:deleteHyperCluster - √ × 修改Lite Server实例信息 PUT /v1/{project_id}/dev-servers/{id} modelarts:devserver:update ecs:servers:lock ecs:servers:get ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:cloudServers:updateServer √ × 查询Lite Server超节点扩缩容支持规格列表及容量测算 GET /v1/{project_id}/dev-servers/hyperinstance/{id}/scale-evaluations modelarts:devserver:getHyperinstanceScaleEvaluations - √ × 获取Lite Server部署服务详情 GET /v1/{project_id}/dev-servers/jobs/services/{id} modelarts:devserver:getJobService - √ × 获取Lite Server Job模板列表 GET /v1/{project_id}/dev-servers/jobs/templates modelarts:devserver:listJobTemplates - √ × 获取Lite Server Job模板详情 GET /v1/{project_id}/dev-servers/jobs/templates/{template_id} modelarts:devserver:getJobTemplate - √ × Lite Server 批量操作 POST /v1/{project_id}/dev-servers/action modelarts:devserver:batchAction bms:servers:showBaremetalServer(bms:servers:get) bms:servers:changeOS bms:servers:reInstallOS bms:servers:reboot bms:servers:start bms:servers:stop ecs:servers:lock ecs:servers:unlock ecs:servers:get ecs:servers:list ecs:cloudServers:changeOS ecs:cloudServers:rebuild ecs:cloudServers:reboot ecs:cloudServers:start ecs:cloudServers:stop ecs:cloudServers:showServer(ecs:cloudServers:get) ecs:servers:list ecs:servers:get kps:SSHKeyPair:get √ × 缩容Lite Server超节点实例 POST /v1/{project_id}/dev-servers/hyperinstance/{id}/live-scale-down modelarts:devserver:scaleDownHyperinstance - √ × 获取Lite Server资源规格列表 GET /v1/{project_id}/dev-servers/resource-flavors modelarts:devserver:listFlavors - √ × 父主题: 权限策略和授权项
-
操作(Action) 操作(Action)即为身份策略中支持的授权项。 “访问级别”列描述如何对操作进行分类(List、Read和Write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于DDS定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。 如果此列条件键没有值(-),表示此操作不支持指定条件键。 关于DDS定义的条件键的详细信息请参见条件(Condition)。 “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明。 您可以在身份策略语句的Action元素中指定以下DDS的相关操作。 表1 DDS支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 别名 dds:instance:setSsl 授予切换SSL开关的权限。 permission_management instance - - dds:instance:unbindEIP 授予解绑弹性公网IP的权限。 write - - - dds:instance:migrateAz 授予实例迁移可用区的权限。 write - - - dds:instance:listMigrateAz 授予查询实例可迁移的可用区列表的权限。 list - - - dds:instance:updateIp 授予修改内网IP地址的权限。 write instance - - dds:instance:bindEIP 授予绑定弹性公网IP的权限。 write - - - dds:instance:resetPassword 授予重置数据库用户密码的权限。 write instance - - dds:instance:checkPassword 授予检查数据库密码的权限。 read instance - - dds:instance:updatePort 授予修改数据库端口的权限。 write instance - - dds:backup:download 授予下载备份文件的权限。 read instance - - dds:instance:setAuditLogPolicy 授予设置审计日志策略的权限。 permission_management instance - - dds:instance:getAuditLogPolicy 授予查看审计日志策略的权限。 list instance - - dds:instance:listAuditLog 授予查看审计日志的权限。 list instance - - dds:instance:listSlowLog 授予查看慢日志的权限。 list instance - - dds:instance:downloadSlowLog 授予下载慢日志的权限。 read instance - - dds:instance:listErrorLog 授予查看错误日志的权限。 list instance - - dds:instance:downloadErrorLog 授予下载错误日志的权限。 read instance - - dds:configuration:delete 授予删除参数组的权限。 write - g:EnterpriseProjectId - dds:configuration:update 授予修改参数组中参数值的权限。 write - g:EnterpriseProjectId - dds:backup:listAll 授予查询备份列表的权限。 list - - - dds:instance:updateConfiguration 授予修改实例或实例节点的参数组配置的权限。 write instance - - dds:instance:applyConfiguration 授予应用参数配置到实例或实例节点的权限。 write - - - dds:instance:createIp 授予创建IP的权限。 write - - - dds:backup:delete 授予删除备份的权限。 write - - - dds:instance:updateSecurityGroup 授予变更实例安全组的权限。 write instance - - dds:configuration:listAll 授予查询参数组列表的权限。 list - g:EnterpriseProjectId - dds:instance:getConfiguration 授予查询实例参数配置的权限。 read instance - - dds:configuration:get 授予查询参数配置详情的权限。 read - g:EnterpriseProjectId - dds:instance:updateSpec 授予变更实例规格的权限。 write instance - - dds:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance - - dds:instance:setSecondLevelMonitoringConfig 授予开启秒级监控的权限。 write instance - - dds:instance:switchover 授予切换主备节点的权限。 write instance - - dds:instance:extendVolume 授予扩容实例存储容量的权限。 write instance - - dds:instance:listAll 授予查询数据库实例列表的权限。 list - - - dds:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write - - - dds:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read - - - dds:instance:listRecycleInstances 授予查询回收站实例列表的权限。 list - - - dds:instance:getUpgradeDuration 授予查询数据库补丁升级预估时长的权限。 read instance - - dds:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - - dds:configuration:listAppliedHistory 授予查询参数模板被应用历史的权限。 list - - - dds:configuration:listUpdatedHistory 授予查询参数模板修改历史的权限。 list - - - dds:configuration:compare 授予比较两个参数模板之间差异的权限。 read - - - dds:configuration:copy 授予复制参数模板的权限。 write - - - dds:configuration:reset 授予重置参数模板的权限。 write - - - dds:instance:getSslCertDownloadAddress 授予获取下载ssl证书地址的权限。 read instance - - dds:instance:addNode 授予扩容实例节点数量的权限。 write instance - - dds:instance:deleteEnlargeFailedNode 授予删除扩容失败的实例节点的权限。 write instance - - dds:task:listAll 授予查询任务列表的权限。 list - - - dds:task:getDetail 授予查询任务详情的权限。 read - - - dds:instance:restart 授予重启数据库实例的权限。 write instance - - dds:instance:deleteAuditLog 授予删除审计日志的权限。 write instance - - dds:instance:delete 授予删除数据库实例的权限。 write instance - - dds:instance:updateName 授予修改实例名称的权限。 write instance - - dds:instance:updateRemark 授予修改实例备注的权限。 write instance - - dds:instance:setTag 授予批量添加或删除指定实例标签的权限。 tagging instance - - dds:instance:listTags 授予查询指定实例的标签信息的权限。 read - - - dds:instance:setBackupPolicy 授予设置自动备份策略的权限。 write - dds:BackupEnabled - dds:instance:getBackupPolicy 授予查询自动备份策略的权限。 read - - - dds:configuration:create 授予创建参数组的权限。 write - g:EnterpriseProjectId - dds:instance:setSlowLogPlaintextStatus 授予切换慢日志明文显示开关的权限。 permission_management instance - - dds:instance:getSlowLogPlaintextStatus 授予查看慢日志明文开关状态的权限。 read instance - - dds:instance:downloadAuditLog 授予下载审计日志的权限。 read instance - - dds:instance:create 授予创建数据库实例的权限。 write - dds:Encrypted - dds:BackupEnabled dds:instance:restore 授予备份恢复原实例的权限。 write - - - dds:backup:getRestoreTimeList 授予查询实例可恢复时间段的权限。 read - - - dds:backup:getRestoreCollections 授予获取可恢复的数据库集合列表的权限。 list - - - dds:backup:getRestoreDatabases 授予获取可恢复的数据库列表的权限。 list - - - dds:instance:getConnectionStatistics 授予查询实例连接数统计信息的权限。 read instance - - dds:instance:getQuotas 授予查询配额的权限。 read - - - dds:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - - dds:instance:getDatabaseUser 授予查询数据库用户列表的权限。 read instance - - dds:instance:deleteDatabaseUser 授予删除数据库用户的权限。 write instance - - dds:instance:createDatabaseRole 授予创建数据库角色的权限。 write instance - - dds:instance:deleteDatabaseRole 授予删除数据库角色的权限。 write instance - - dds:instance:getDatabaseRole 授予查询数据库角色列表的权限。 read instance - - dds:instance:setSourceSubnet 授予网段配置的权限。 write instance - - dds:instance:upgradeDatabaseVersion 授予升级数据库版本的权限。 write instance - - dds:backup:create 授予创建数据库实例手动备份的权限。 write - - - dds:instance:deleteSession 授予删除节点会话的权限。 write - - - dds:instance:listSession 授予查询节点会话列表的权限。 list - - - dds:instance:getShardingBalancer 授予查询集群实例负载均衡的权限。 read instance - - dds:instance:setShardingBalancer 授予设置集群实例负载均衡的权限。 write instance - - dds:instance:setBalancerWindow 授予设置集群均衡活动时间窗的权限。 write instance - - dds:instance:updateOpsWindow 授予设置实例可维护时间窗的权限。 write instance - - dds:instance:listFlavors 授予查询规格列表的权限。 read - - - dds:instance:listStorageType 授予查询数据库磁盘类型的权限。 read - - - dds:instance:listDatabaseVersion 授予查询数据库版本信息的权限。 read - - - dds:tag:listAll 授予查询项目下所有标签信息的权限。 list - - - dds:instance:reduceNode 授予缩容集群实例的节点数量的权限。 write instance - - dds:instance:createDomainName 授予创建DNS的权限。 write - - - dds:instance:updateDomainName 授予修改DNS名称的权限。 write - - - dds:instance:updateReplicaSetName 授予修改数据库复制集名称的权限。 write instance - - dds:instance:getDetail 授予查询实例详情的权限。 read instance - - dds:instance:getNodeList 授予查询实例节点列表的权限。 read instance - - dds:instance:updateTag 授予修改实例标签的权限。 tagging instance - - dds:instance:deleteTag 授予删除实例标签的权限。 tagging instance - - dds:backup:get 授予查询备份信息的权限。 read - - - dds:offsiteBackup:listRegion 授予获取指定实例异地备份区域的权限。 read - - - dds:offsiteBackup:listInstance 授予获取异地备份实例的权限。 read - - - dds:offsiteBackup:listAll 授予获取异地备份列表的权限。 read - - - dds:instance:saveLogConfig 授予批量保存日志配置的权限。 write - - - dds:instance:deleteLogConfig 授予批量删除日志配置的权限。 write - - - dds:backup:stop 授予停止备份的权限。 write - - - dds:instance:createKillOpRule 授予创建SQL查杀的权限。 write instance g:EnterpriseProjectId - dds:instance:deleteKillOpRule 授予删除SQL查杀的权限。 write instance g:EnterpriseProjectId - dds:instance:getKillOpRule 授予查询SQL查杀的权限。 read instance g:EnterpriseProjectId - dds:instance:updateKillOpRule 授予更新SQL查杀的权限。 write instance g:EnterpriseProjectId - dds:offsiteBackup:getBackupPolicy 授予获取指定实例异地备份策略的权限。 read instance g:EnterpriseProjectId - dds:offsiteBackup:setBackupPolicy 授予设置异地备份策略的权限。 write instance g:EnterpriseProjectId -
-
支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 DAS的支持自定义策略授权项如下所示:
-
权限和授权项说明 如果您需要对您所拥有的ESW进行精细的权限管理,您可以使用 统一身份认证 服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用ESW服务的其它功能。 通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云资源的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。 两者有如下的区别和关系: 表1 两类授权的区别 名称 核心关系 涉及的权限 授权方式 适用场景 角色与策略授权 用户-权限-授权范围 系统角色 系统策略 自定义策略 为主体授予角色或策略 核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 身份策略授权 用户-策略 系统身份策略 自定义身份策略 为主体授予身份策略 身份策略附加至主体 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 例如:如果需要对IAM用户授予可以创建华北-北京四区域的E CS 和华南-广州区域的OBS的权限,基于角色与策略授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于身份策略授权的场景中,管理员仅需要创建一个自定义身份策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将身份策略附加主体或为主体授予该身份策略即可获得相应权限,权限配置方式更细粒度更灵活。 两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。 例如,用户要调用接口来查询企业交换机实例列表,那么在策略授权的场景中,这个IAM用户被授予的权限中必须包含允许“esw:instance:list”的授权项,该接口才能调用成功。在身份策略授权的场景中,这个IAM用户被授予的权限中包含“esw:instance:list”的授权项,该接口才能调用成功。 父主题: 权限策略和授权项
-
支持的授权项 细粒度策略支持的操作与API相对应,授权项列表说明如下: 权限:自定义策略中授权项定义的内容即为权限。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
-
支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 DDS的支持自定义策略授权项如下所示:
-
权限和授权项说明 如果您需要对您所拥有的 APM 进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用APM服务的其他功能。 通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云资源的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。 两者有如下的区别和关系: 表1 两类授权的区别 名称 核心关系 涉及的权限 授权方式 适用场景 角色与策略授权 用户-权限-授权范围 系统角色 系统策略 自定义策略 为主体授予角色或策略 核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 身份策略授权 用户-策略 系统身份策略 自定义身份策略 为主体授予身份策略 身份策略附加至主体 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 例如:如果需要对IAM用户授予可以创建华北-北京四区域的ECS和华南-广州区域的OBS的权限,基于角色与策略授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于身份策略授权的场景中,管理员仅需要创建一个自定义身份策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将身份策略附加主体或为主体授予该身份策略即可获得相应权限,权限配置方式更细粒度更灵活。 两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。 父主题: 权限策略和授权项
-
支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 授权范围:自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 对应API接口:自定义策略实际调用的API接口。 华为HiLens服务的支持自定义策略授权项如下所示: 设备管理权限 技能开发权限 技能市场权限 管理产品权限
