华为云用户手册

委托其他账号管理资源的流程 通过委托信任功能，您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号，被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托，不能对 IAM 用户进行委托。 如下以A账号委托B账号管理资源为例，讲述委托的原理及方法。A账号为委托方，B账号为被委托方。 账号A创建委托。 图1 账号A创建委托 （可选）账号B分配委托权限。 创建用户组并授予用户组管理委托的权限。 创建用户并将用户加入到用户组中。 图2 账号B分配委托权限 账号B或者IAM用户管理委托资源。 被委托方登录自己的账号，切换角色到账号A。 切换到被授权的区域A，管理账号A的资源。 图3 账号B切换角色 父主题： 委托其他账号管理资源

创建项目 在IAM控制台的左侧导航窗格中，选择“项目”页签，单击“创建项目”。 图2 创建项目 在“所属区域”下拉列表中选择需要创建子项目的区域。 输入“项目名称”。 项目名称的格式为：区域默认项目名称_子项目名称，区域默认项目名称不允许修改。 项目名称可以由字母、数字、下划线（_）、中划线（-）组成。“区 域名 称_项目名称”的总长度不能大于64个字符。 （可选）输入“描述”。 单击“确定”，项目列表中显示新创建的项目。

相关操作 由于华为云各服务之间存在业务交互关系，个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时，对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系，不需要进行依赖授权。 管理员登录IAM控制台。 在用户组列表中，单击新建用户组右侧的“授权”。 在授权页面进行授权时，管理员在权限列表的搜索框中搜索需要的角色。 选择角色，系统将自动勾选依赖角色。 图4 选择角色 单击勾选权限下方的，查看角色的依赖关系。 图5 查看角色的依赖关系 例如“DNS Administrator”，角色内容中存在“Depends”字段，表示存在依赖关系。给用户组授予“DNS Administrator”角色时，还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色，“DNS Administrator”才能生效。 单击“确定”，完成依赖角色的授权。

给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见：管理用户组的权限。 在用户组列表中，单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 在用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后，IAM用户可以根据权限使用账号中所有资源，包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 说明： 不支持选择专属云DEC的区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如 对象存储服务 （OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。 表2为常用权限，完整的权限列表请参见：系统权限。 当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。 更多有关权限的使用建议请参见：多运维人员权限设置案例、依赖角色的授权方法、自定义策略示例。 企业项目授权场景下，授予OBS相关的权限后，大概需要等待15~30分钟策略才能生效。 表2 常用权限 权限 需要授予的策略 权限说明 授权范围 总负责人 FullAccess 支持基于策略授权服务的所有权限 所有资源 管理资源 Tenant Administrator 除IAM外，其他所有服务的管理员权限 所有资源 查看资源 Tenant Guest 所有资源的只读权限 所有资源 管理IAM用户 Security Administrator IAM的管理员权限 全局服务资源 管理费用 BSS Administrator 费用中心的管理员权限，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明： 授权时，需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 E CS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限 指定区域项目资源 IMS FullAccess 镜像服务 的管理员权限 指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限 指定区域项目资源 网络域运维 VPC FullAccess 虚拟私有云的管理员权限 指定区域项目资源 ELB FullAccess 弹性负载均衡的管理员权限 指定区域项目资源 数据库运维 RDS FullAccess 云数据库的管理员权限 指定区域项目资源 DDS FullAccess 文档数据库服务的管理员权限 指定区域项目资源 DDM FullAccess 分布式数据库 中间件的管理员权限 指定区域项目资源 安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的管理员权限 指定区域项目资源 AAD Administrator DDoS高防服务 的管理员权限 指定区域项目资源 WAF Administrator Web应用防火墙 的管理员权限 指定区域项目资源 VSS Administrator 漏洞扫描服务 的管理员权限 指定区域项目资源 CGS Administrator 容器安全服务 的管理员权限 指定区域项目资源 KMS Administrator 数据加密 服务的管理员权限 指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限 指定区域项目资源 SES Administrator 安全专家服务的管理员权限 指定区域项目资源 SC Administrator SSL证书管理服务的管理员权限 指定区域项目资源

约束与限制 请谨慎删除IAM用户，删除后该IAM用户将无法登录，该用户的IAM用户名、IAM密码、访问密钥、及其所有IAM授权关系将被清除且不可恢复。 请排查要删除的用户是否有其他服务或场景在使用，若无法确定，建议先使用"停用"功能，以免业务运行失败后无法回退。如需暂时停用IAM用户，请参考基本信息，批量停用请参考批量修改IAM用户信息。 如需将IAM用户从某个用户组移除，请参见：用户组添加/移除用户。

约束与限制 企业联邦用户不能创建访问密钥，但可以创建临时访问凭证（临时AK/SK和SecuritityToken），具体内容请参见：临时访问密钥。 IAM提供的“安全设置”功能，适用于管理员管理IAM用户的访问密钥。在我的凭证中也可以管理访问密钥，我的凭证适用于所有用户在可以登录控制台的情况下，自行管理访问密钥。 账号和IAM用户的访问密钥是单独的身份凭证，即账号和IAM用户仅能使用自己的访问密钥进行API调用。 访问密钥的“最近使用时间”记录IAM用户15分钟内的第一次使用时间，如果15分钟内多次使用访问密钥，仅记录第一次使用时间。 每个IAM用户最多可以拥有2个访问密钥，有效期为永久。为了账号安全性，建议管理员定期给用户更换访问密钥。 如在创建访问密钥时未及时下载访问密钥，关闭弹窗后将无法再重新获取访问密钥的SK。您可以先删除当前访问密钥后，重新生成新的访问密钥。 IAM用户的访问密钥删除后将无法恢复，请确保当前IAM用户的访问密钥删除后不会影响业务后再执行删除操作。

创建IAM用户的访问密钥 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或单击右侧的“安全设置”，进入用户详情页面。 图1 管理IAM用户访问密钥 选择“安全设置”页签。单击“新增访问密钥”。 如开启操作保护，则创建访问密钥时需要进行身份验证，管理员需输入验证码或密码。 图2 新增访问密钥 单击“确定”，生成并下载访问密钥后，将访问密钥提供给用户。 如在创建访问密钥时未及时下载访问密钥，关闭弹窗后无法再重新获取访问密钥的SK。您可以先删除当前访问密钥后，重新生成新的访问密钥。

删除IAM用户的访问密钥 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或单击右侧的“安全设置”，进入用户详情页面。 选择“安全设置”页签。在需要删除的访问密钥右侧单击“停用”。 单击“确定”，停用访问密钥。 停用访问密钥后，单击访问密钥右侧的“删除”。请确保当前IAM用户的访问密钥删除后不会影响业务后再执行删除操作。 如开启操作保护，则删除访问密钥时需要进行身份验证，管理员需输入验证码或密码。 图3 删除访问密钥 单击“确定”。

修改单个IAM用户基本信息 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或者单击右侧的“安全设置”，进入用户详情页面。 图2 修改IAM用户状态、访问方式、描述、外部身份ID 管理员可以在用户详情页修改IAM用户的基本信息。 状态：修改IAM用户的状态，IAM用户的状态默认为启用，如果需要停止使用该IAM用户，可以将IAM用户的状态设置为“停用”。停用后，该IAM用户将无法通过任一方式访问华为云，包括管理控制台访问和编程访问。IAM用户也可以自行修改该状态。 访问模式：修改IAM用户的访问方式。 请参考如下说明，修改访问模式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。 如果当前IAM用户的访问模式为编程访问或编程访问和管理控制台访问，取消编程访问可能会使IAM用户无法访问华为云服务，请谨慎修改。 描述：修改IAM用户的描述信息。 外部身份ID：IAM SSO类型的联邦用户单点登录中，与当前实体IAM用户对接的，企业自身用户的身份ID值。

批量修改IAM用户信息 IAM支持批量修改IAM用户状态、访问方式、验证方式、登录密码、手机和邮件地址，修改方式类似，以修改IAM用户状态为例，说明批量修改IAM用户信息的方法。 进入IAM控制台，在左侧导航栏选择“用户”页签。 在用户列表中，勾选需要修改的用户。勾选完成后，单击用户列表上方的“编辑”。 图3 编辑用户信息 选择需要修改的IAM用户属性，以修改IAM用户状态为例，选择“状态”。 图4 选择状态 选择要给IAM用户配置的目标状态，若要停用IAM用户则选择“停用”，启用IAM用户则选择“启用”。 图5 修改状态 请排查用户是否有其他服务或场景在使用，停用正在使用的用户可能会对业务产生影响。 单击“确定”，确定IAM用户配置。 单击“确认”，完成所选IAM用户状态的修改。

查看IAM用户的基本信息 管理员登录IAM控制台。 管理员单击IAM用户列表搜索框右侧的“”，可以修改用户列表展示项目，用户名、状态、操作为默认展示项目。可选项目：描述、最近活动时间、创建时间、访问方式、登录验证方式、MFA（状态）、密码使用时长、访问密钥状态、外部身份ID。 最近活动时间记录IAM用户和账号5分钟内的第一次登录时间，如果5分钟内登录多次，仅记录第一次登录时间。如果不登录账号，仅使用账号密码 获取Token ，也将会刷新最近活动时间。 管理员在用户列表中，单击用户名称，或者单击右侧的“安全设置”，进入用户详情页面。 图1 进入IAM用户安全设置页面 在基本信息页面，可以查看IAM用户的基本信息。

策略变量语法与替换规则说明 策略变量结构支持使用$前缀，后跟一对大括号{ }。在大括号内，需要填入想要使用的请求上下文中的条件键的名称，例如${g:UserName}。在实际策略鉴权的时候，${g:UserName}将被自动替换为条件键g:UserName的值。 Condition条件值的变量可以填写在任意位置，Resource元素的变量只能填写在Resource以":"分隔的五段式中的最后一段，例如：OBS:*:*:bucket:${g:UserName}。 如果指定条件键在请求上下文中不存在，或者指定条件键是多值条件键，那么将会替换失败，可能会导致整个语句无效。例如当且仅当访问身份是IAM用户时，请求中才会存在g:UserName。如果以其他身份访问，那么所有包含${g:UserName}的资源和条件键都将视作不匹配。同理，对于多值条件键（指一个条件键对应多个值），即使它存在于请求上下文中，由于它是多值条件键，依然会被判定为替换失败，从而视作不匹配。 如果变量指定的条件键替换失败，您可以为它提供原定设置文本作为默认值。要向变量添加默认值，请用单引号' '括起默认值，并用英文逗号和空格分隔条件键名称和默认值，例如${key, 'default'}，表示当key不存在或者替换失败时，将${key, 'default'}替换为文本串default。条件键名称不区分大小写，但是默认值区分大小写。此外，条件键名称与默认值引号前后的空格都会被忽略。例如${ g:username , 'Default_User_Name' }表示如果访问身份是IAM用户，则替换成g:UserName的值，否则替换成文本串Default_User_Name。 对于策略变量中具有特殊含义的字符"$"（策略变量标识符），如果您不想让这个字符表示特殊含义，请将它们改写为${$}；在策略变量默认值中，如果您想表达一个单引号字符（'），请使用一对连续的单引号（''）来表示。例如${g:UserName, 'A single quote is '', two quotes are ''''.'}，当使用默认值进行替换时，它将被替换成A single quote is ', two quotes are ''. IAM只会进行一轮替换，这意味着即使替换完毕后包含新的策略变量结构，它仍然不会被替换。例如${g:UserName, '${g:UserName}'}，当使用默认值进行替换时，它将被替换成${g:UserName}，不会继续迭代。

策略变量替换失败场景说明 在以下场景下将会出现策略变量替换失败的情况： 变量在上下文中不存在，替换失败，例如非IAM用户登录时："${g:UserName}"。 变量标识符不匹配，替换失败，例如："${foo"、"${foo, 'default'"。 变量中默认值标识符不匹配，替换失败，例如："${key, value}"、 "${foo, 'default}"、"${foo, 'default''}"等。 变量为空，替换失败，例如"${}"、"${ }"、"${ }"等。 变量不允许存在空格，如果变量中存在空格，替换失败，例如："${g:user id}"等。 变量嵌套，替换失败，例如：${var1${var2}}。

策略变量使用示例 在资源中使用变量： 该示例表示，如果以IAM用户身份登录，且IAM用户名是test_user_name的情况下（g:UserName获取到的值是test_user_name）对资源OBS:*:*:bucket:test_user_name（"*"代表通配表示任意多个字符）执行obs:bucket:CreateBucket的行为结果是Allow。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": [ "obs:bucket:CreateBucket" ], "Resource": [ "OBS:*:*:bucket:${g:UserName}" ] }] } 该示例表示，以IAM用户身份登录，且IAM用户名是test_user_name的情况下（g:UserName获取到的值是test_user_name）对资源OBS:*:*:bucket:prefix_test_user_name_suffix（"*"代表通配表示任意多个字符）执行obs:bucket:CreateBucket的行为结果是Allow。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": [ "obs:bucket:CreateBucket" ], "Resource": [ "OBS:*:*:bucket:prefix_${g:UserName}_suffix" ] }] } 在条件值中使用变量： 该示例表示，以IAM用户身份登录，且IAM用户名是test_user_name的情况下（g:UserName获取到的值是test_user_name）执行iam:agencies:getAgency的行为结果是Allow。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": [ "iam:agencies:getAgency" ], "Condition": { "StringEquals": { "g:UserName": [ "${g:UserName}" ] } } }] }

IAM项目视图 在IAM项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看所有云服务的系统权限，请参见：系统权限。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组/委托的IAM项目授权记录，选择过滤条件为“用户名”、“用户组名”或“委托名”，输入指定对应名称，查看其授权记录。 基于IAM项目授权，最小授权单位为用户组。查看IAM项目视图下指定IAM用户授权记录时，将显示该IAM用户所属用户组的授权记录。 项目区域：IAM项目或区域名称，即权限的作用范围。查看IAM项目授权情况，请选择： 全局服务：查看所有全局服务授权记录。 所有项目：查看基于所有项目授权的授权记录。基于“所有项目”授权，权限对所有项目都生效，包括全局服务和所有项目（包括未来创建的项目）。 指定项目（如“cn-north-4”）：查看基于默认区域、子项目授权的授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。IAM项目视图下，可以选择主体类型为“用户组”、“委托”，如果选择“用户”，筛选结果为空。 企业项目：企业项目的名称。如果您在IAM用户视图下，选择“企业项目”为过滤条件，并输入企业项目名称，将自动切换至企业项目视图。

企业项目视图 在企业项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看企业项目支持的云服务权限，请参见：云服务权限说明。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录，选择过滤条件为“用户名”、“用户组名”，输入指定对应名称，查看其授权记录。 基于企业项目授权，最小授权单位为用户，查看企业项目视图下指定IAM用户授权记录时，显示该IAM用户及其所属用户组的授权记录。 企业项目：企业项目的名称，即权限的作用范围。查看指定企业项目的授权记录，选择区域过滤条件为“企业项目”，输入企业项目名称，查看基于该企业项目的所有授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。 项目区域：IAM项目或区域。如果您在企业项目视图下，选择“项目区域”为过滤条件，并选择指定项目，将自动切换至IAM项目视图。

系统策略更名详情 现对系统策略（即细粒度策略类型）名称进行调整，新的策略名称将于2020/2/6 22:30:00（北京时间）正式生效。本次调整仅涉及对系统策略名称的修改，不会影响您的业务，请放心使用。原始系统策略为Version 1.0，目标系统策略为Version 1.1，当前IAM兼容两个版本。 表1 系统策略更名详情 服务 原始系统策略名称 目标系统策略名称 AOM AOM Admin AOM FullAccess AOM Viewer AOM ReadOnlyAccess APM APM Admin APM FullAccess APM Viewer APM ReadOnlyAccess Auto Scaling AutoScaling Admin AutoScaling FullAccess AutoScaling Viewer AutoScaling ReadOnlyAccess BMS BMS Admin BMS FullAccess BMS User BMS CommonOperations BMS Viewer BMS ReadOnlyAccess BSS EnterpriseProject_BSS_Administrator EnterpriseProject BSS FullAccess CBR CBR Admin CBR FullAccess CBR User CBR BackupsAndVaultsFullAccess CBR Viewer CBR ReadOnlyAccess CCE CCE Admin CCE FullAccess CCE Viewer CCE ReadOnlyAccess CCI CCI Admin CCI FullAccess CCI Viewer CCI ReadOnlyAccess CDM CDM Admin CDM FullAccess CDM Operator CDM FullAccessExceptUpdateEIP CDM Viewer CDM ReadOnlyAccess CDM User CDM CommonOperations CDN CDN Domain Configuration Operator CDN DomainConfigureAccess CDN Domain Viewer CDN DomainReadOnlyAccess CDN Logs Viewer CDN LogsReadOnlyAccess CDN Refresh And Preheat Operator CDN RefreshAndPreheatAccess CDN Statistics Viewer CDN StatisticsReadOnlyAccess CES CES Admin CES FullAccess CES Viewer CES ReadOnlyAccess CS CS Admin CS FullAccess CS Viewer CS ReadOnlyAccess CS User CS CommonOperations CSE CSE Admin CSE FullAccess CSE Viewer CSE ReadOnlyAccess DCS DCS Admin DCS FullAccess DCS Viewer DCS ReadOnlyAccess DCS User DCS UseAccess DDM DDM Admin DDM FullAccess DDM Viewer DDM ReadOnlyAccess DDM User DDM CommonOperations DDS DDS Admin DDS FullAccess DDS DBA DDS ManageAccess DDS Viewer DDS ReadOnlyAccess DLF DLF Admin DLF FullAccess DLF Developer DLF Development DLF Operator DLF OperationAndMaintenanceAccess DLF Viewer DLF ReadOnlyAccess DMS DMS Admin DMS FullAccess DMS Viewer DMS ReadOnlyAccess DMS User DMS UseAccess DNS DNS Admin DNS FullAccess DNS Viewer DNS ReadOnlyAccess DSS DSS Admin DSS FullAccess DSS Viewer DSS ReadOnlyAccess DWS DWS Admin DWS FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB FullAccess ELB Viewer ELB ReadOnlyAccess EPS EPS Admin EPS FullAccess EPS Viewer EPS ReadOnlyAccess EVS EVS Admin EVS FullAccess EVS Viewer EVS ReadOnlyAccess GES GES Admin GES FullAccess GES Viewer GES ReadOnlyAccess GES User GES Development ICITY iCity Admin iCity FullAccess iCity Viewer iCity ReadOnlyAccess IMS IMS Admin IMS FullAccess IMS Viewer IMS ReadOnlyAccess Image Recognition Image Recognition User Image Recognition FullAccess KMS DEW Keypair Admin DEW KeypairFullAccess DEW Keypair Viewer DEW KeypairReadOnlyAccess KMS CMK Admin KMS CMKFullAccess LTS LTS Admin LTS FullAccess LTS Viewer LTS ReadOnlyAccess MRS MRS Admin MRS FullAccess MRS Viewer MRS ReadOnlyAccess MRS User MRS CommonOperations ModelArts ModelArts Admin ModelArts FullAccess ModelArts User ModelArts CommonOperations Moderation Moderation User Moderation FullAccess NAT NAT Admin NAT FullAccess NAT Viewer NAT ReadOnlyAccess OBS OBS Operator OBS OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess RES RES Admin RES FullAccess RES Viewer RES ReadOnlyAccess ROMA Connect ROMA Admin ROMA FullAccess ROMA Viewer ROMA ReadOnlyAccess SCM SCM Admin SCM FullAccess SCM Viewer SCM ReadOnlyAccess SCM Viewer SCM ReadOnlyAccess SFS SFS Admin SFS FullAccess SFS Viewer SFS ReadOnlyAccess SFS Turbo SFS Turbo Administrator SFS Turbo FullAccess SFS Turbo Viewer SFS Turbo ReadOnlyAccess ServiceStage ServiceStage Admin ServiceStage FullAccess ServiceStage Developer ServiceStage Development ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题： 权限基本概念

登录密码、关联手机号、绑定邮件地址 修改登录密码、关联手机号、绑定邮件地址类似，以修改密码为例。 进入安全设置。 在“安全设置”页面中，选择“基本信息”页签，单击“登录密码”右侧的“立即修改”，进入“修改密码”页面。 图1 修改密码 （可选）选择身份验证方式，获取并输入验证码。 如果邮件地址和手机都未绑定，则无需验证。 输入原密码、新密码并确认密码。 密码不能是用户名或者用户名的倒序，例如：用户名为A12345，则密码不能为A12345、a12345、54321A和54321a。 密码的强弱程度，例如密码的最小长度等，可以由管理员在设置密码策略中进行设置。 单击“确定”，完成密码修改。

操作步骤 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，进入用户详情页面。 单击“所属用户组”页签下的“加入到用户组”。 图1 将IAM用户加入用户组 在“配置用户组”中选择需要加入的用户组。 一个用户可以加入一个或是多个用户组。 图2 配置用户组 单击“确定”。新加入的用户组将会展示在所属用户组列表中。 用户加入用户组后，拥有用户组的所有权限。 如您希望IAM用户退出某个用户组，单击IAM用户所属用户组右侧的“移除”，在弹出的对话框中单击“确定”，退出选中的用户组，用户将不再拥有该用户组权限。 图3 将IAM用户移出用户组

用户组介绍 用户组是IAM用户的集合，利用用户组可以为多个IAM用户指定权限，使得管理IAM用户权限更加方便。 例如，账号默认会有一个预置的admin用户组，这个用户组是管理员用户组，拥有所有操作权限。加入admin用户组的IAM用户会自动拥有管理员权限，如果有新用户加入您的组织并且需要管理员权限，则可以将该用户加入到admin用户组以获取相应的权限；如果该用户不再承担相应的管理员工作，只需要将该用户从admin用户组移除即可。 不过，为了满足最小授权原则，推荐您新建用户组且只授予IAM用户所需的最小权限，而不是将多个IAM用户直接加入admin用户组。

操作步骤 管理员登录IAM控制台。 在用户组列表中，单击新建用户组右侧的“授权”。 在授权页面进行授权时，管理员在权限列表的搜索框中搜索需要的角色。 选择角色，系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的，查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administrator”，角色内容中存在“Depends”字段，表示存在依赖关系。给用户组授予“DNS Administrator”角色时，还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色，“DNS Administrator”才能生效。 单击“确定”，完成依赖角色的授权。

修改IAM用户的登录保护设置 登录保护表示用户登录控制台时，除了在登录页面输入用户名和密码（第一次身份认证），还需要在“登录验证”页面输入验证码（第二次身份验证），该功能默认关闭。 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或单击右侧的“安全设置”，进入用户详情页面。 选择“安全设置”页签，修改IAM用户的登录保护设置，默认为关闭状态。 手机：使用手机验证码进行登录二次验证。 邮件地址：使用邮件地址验证码进行登录二次验证。 虚拟MFA：使用虚拟MFA的动态口令进行登录二次验证。 验证方式选择虚拟MFA时，可以选择打开或者关闭API登录保护，该功能默认关闭。开启API登录保护后，将无法通过“密码方式”获取IAM用户Token，需要通过“密码+虚拟MFA方式”获取。如需通过密码+虚拟MFA方式获取IAM用户Token，请参见：获取IAM用户Token（使用密码+虚拟MFA）。

修改IAM用户的安全信息 此处仅能修改IAM用户的安全信息，不能修改账号的安全信息。 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或单击右侧的“安全设置”，进入用户详情页面。 选择“安全设置”页签，修改IAM用户的安全信息。 修改用户的手机、邮件地址。支持清空IAM用户的手机号和邮件地址。 修改IAM用户绑定手机号和邮件地址不可与账号、其他IAM用户重复。 USB KEY：给IAM用户绑定或解绑USB KEY。 图3 修改安全信息

管理IAM用户的多因素认证设备 默认情况下，此处仅能修改IAM用户的多因素认证设备，不能修改账号的多因素认证设备。如需修改账号的多因素认证设备，请授予绑定和解绑MFA的权限后操作。 管理员登录IAM控制台。 管理员在用户列表中，单击用户名称，或单击右侧的“安全设置”，进入用户详情页面。 选择“安全设置”页签，绑定IAM用户的多因素认证设备。 单击“添加MFA设备”。 图4 添加MFA设备 在右侧弹窗中，选择“虚拟MFA”。根据界面提示完成添加。 （可选）在MFA设备列，单击右侧的“解绑”，解绑当前MFA设备。 图5 解绑MFA设备

支持IAM资源粒度授权的云服务 如果您需要授予IAM用户特定资源的相应权限，可以创建自定义策略并选择特定资源，该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时，选择资源类型并添加资源路径：OBS:*:*:bucket:TestBucket*，即可授予IAM用户以TestBucket命名开头的桶相应权限。 下表为当前华为云支持资源级别授权的云服务及对应资源类型。 表1 支持资源粒度授权的云服务及其资源类型 服务 资源类型 资源名称 API开放平台SaaS（Apiexplorer-saas） product 产品 portal 门户 云堡垒机 （CBH） instanceId 实例ID 云容器引擎（CCE） cluster 集群 云服务操作中心（COC） schedule 定时运维 document 文档 drillPlan 演练规划 attackTask 攻击任务 contingencyPlan 应急预案 drillTask 演练任务 accountBaseline 账号基线 faultMode 故障模式 drillRecord 演练记录 job 任务 slaTemplate sla模板 attackTargetRecord 攻击任务的攻击目标记录 parameter 配置项 凭据管理服务（C SMS ） secretName 凭据名称 智能数据洞察（DataArtsInsight） workspace 工作空间 分布式缓存服务（DCS） instance 实例 文档数据库服务（DDS） instanceName 实例名称 数据湖探索 （ DLI ） queue 队列 database 数据库 table 表 column 列 datasourceauth 安全认证信息 jobs 作业 resource 资源包 elasticresourcepool 弹性资源池 group 资源包组 variable 全局变量 分布式消息服务（DMS） rabbitmq RabbitMQ实例 kafka Kafka实例 rocketmq RocketMQ实例 数据仓库 服务（DWS） cluster 集群 弹性云服务器（ECS） instance 弹性云服务器 云硬盘（EVS） volume 云硬盘 函数工作流 服务（FunctionGraph） function 函数 trigger 触发器 图引擎服务（GES） graphName 图名称 backupName 备份名称 metadataName 元数据名称 IAM身份中心（IAM Identity Center） account 账号 permissionSet 权限集 instance 实例 智能边缘平台（IEF） product 产品 node 边缘节点 group 边缘节点组 deployment 应用部署 batchjob 批量作业 application 应用模板 appVersion 应用模板版本 IEFInstance IEF实例 设备接入（IoTDA） app 资源空间ID instance 实例ID 数据加密服务（KMS） KeyId 密钥ID MapReduce服务 （MRS） cluster 集群 对象存储服务（OBS） bucket 桶 object 对象 云数据库（RDS） instance RDS实例 资源编排 服务（ RFS ） privateModule 私有模块 stack 堆栈 stackSet 堆栈集 privateTemplate 私有模板 privateProvider 私有Provider 应用与 数据集成平台 ROMA Connect graph 业务流图ID 证书管理服务（SCM） cert 证书ID 安全云脑 （SecMaster） alert 告警 search 查询 playbook 剧本 workflow 流程 subscription 订购 indicator 威胁情报 alertRule 告警模型 connection 资产连接 mapping 分类映射 dataclass 数据类 report 报告 searchCondition 检索条件 agency 委托 resource 资源 layout 布局 dataobject 数据对象 emergencyVulnerability 应急漏洞 workspace 工作空间 metric 指标 dataspace 数据空间 catalogue 目录 task 待办 alertRuleTemplate 告警模板 pipe 数据管道 incident 事件 table 表 vulnerability 漏洞 容器镜像服务 （SWR） chart Chart repository 仓库 instance 企业版实例 虚拟私有云（VPC） publicip 弹性公网IP 父主题： 自定义策略

密码设置策略 图1 密码设置策略 密码至少包含字符种类（大写字母、小写字母、数字、特殊字符）默认为2种，可以在2~4种之间设置。 密码最小长度默认为8个字符，可以在8~32个字符之间设置。 （可选）开启“设置密码时同一字符不能连续出现”，设置密码中允许同一字符连续出现的最大次数。例如设置为1，表示密码中不允许出现相同字符。 （可选）开启“新密码不能与最近的历史密码相同”，设置新密码不能与最近几次的历史密码相同。例如设置为3，表示不能使用最近三次的历史密码，用户在设置新密码时，如果新密码与历史密码相同，系统将会提示用户不能使用最近三次的历史密码，需要重新设置密码。 修改密码设置策略，将对后续新增IAM用户和后续修改密码的账号以及账号下的IAM用户生效。

策略鉴权规则 用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下： 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。

权限的分类 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。

参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0：代表基于角色的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DNS:Zone:*"：表示对DNS的Zone所有操作。其中“DNS”为服务名；“Zone”为资源类型；“*”为通配符，表示对Zone资源类型可以执行所有操作。 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明： 给用户组授予示例的“DNS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”，“DNS Administraor”才会生效。 了解更多角色依赖关系，请参考：系统权限。

角色内容 给用户组选择角色时，单击角色前面的，可以查看角色的详细内容，以“DNS Administrator”为例，说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" }, { "catalog": "VPC", "display_name": "VPC Administrator" } ] }