- 对于所有可执行列举操作的云服务资源(包括OBS、ECS等),都可以通过IAM+EPS结合的手段,实现“限制用户仅能列举可见部分资源”的需求 对于所有可执行列举操作的云服务资源(包括OBS、ECS等),都可以通过IAM+EPS结合的手段,实现“限制用户仅能列举可见部分资源”的需求
- 通过IAM自定义代理免密登录到云服务Console页面,省去认证环节,直接登陆云服务器进行数据查询和获取。 通过IAM自定义代理免密登录到云服务Console页面,省去认证环节,直接登陆云服务器进行数据查询和获取。
- 如果你的华为云账号下有很多资源,不同资源需要对应职责的工程师进行管理,并且希望他们之间的权限彼此隔离,那么可以使用IAM功能进行权限的管理。 如果你的华为云账号下有很多资源,不同资源需要对应职责的工程师进行管理,并且希望他们之间的权限彼此隔离,那么可以使用IAM功能进行权限的管理。
- 在进行IAM的OBS访问权限的测试或调试的时候,为了立即IAM权限更新后的配置效果,可以基于OBS SDK或API接口,使用临时AK/SK和SecurityToken认证方式,通过创建OBS客户端代码来方便地进行验证,本文给出了基于OBS Python SDK的Python参考代码片段 在进行IAM的OBS访问权限的测试或调试的时候,为了立即IAM权限更新后的配置效果,可以基于OBS SDK或API接口,使用临时AK/SK和SecurityToken认证方式,通过创建OBS客户端代码来方便地进行验证,本文给出了基于OBS Python SDK的Python参考代码片段
- IAM的OBS细粒度权限配置时,可视化视图的ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作所包含的Actions,并不完全如分类单词含义那样准确(例如想要达到“可读写”权限的效果,不能只勾选ReadWrite,还必须同时勾选ReadOnly和ListOnly的部分项),必须仔细关注每个Action细节 IAM的OBS细粒度权限配置时,可视化视图的ReadOnly、ReadWrite、ListOnly、Permissions 四大类操作所包含的Actions,并不完全如分类单词含义那样准确(例如想要达到“可读写”权限的效果,不能只勾选ReadWrite,还必须同时勾选ReadOnly和ListOnly的部分项),必须仔细关注每个Action细节
- 由于当前(截止2020/02/05),IAM的细粒度权限控制特性还处于公测阶段,所以当前要激活IAM的OBS细粒度权限控制特性,需要首先向IAM申请开通IAM细粒度公测之外,然后向OBS申请将目标IAM账号加入到目标Region的OBS细粒度特性白名单中 由于当前(截止2020/02/05),IAM的细粒度权限控制特性还处于公测阶段,所以当前要激活IAM的OBS细粒度权限控制特性,需要首先向IAM申请开通IAM细粒度公测之外,然后向OBS申请将目标IAM账号加入到目标Region的OBS细粒度特性白名单中
- IAM的OBS细粒度权限策略中,如果涉及“列举所有桶”操作的权限,需要基于 ListAllMyBuckets 这个action单独创建一个策略,并且该策略对应的“资源”项必须为“全部资源” IAM的OBS细粒度权限策略中,如果涉及“列举所有桶”操作的权限,需要基于 ListAllMyBuckets 这个action单独创建一个策略,并且该策略对应的“资源”项必须为“全部资源”
- 在华为云中,无论是IAM的OBS细粒度权限控制,还是OBS桶自定义的高级桶策略中,桶的访问控制与对象的访问控制是分开定义的,最终形成的JSON定义中,也包含针对OBS桶和OBS对象的两条规则 在华为云中,无论是IAM的OBS细粒度权限控制,还是OBS桶自定义的高级桶策略中,桶的访问控制与对象的访问控制是分开定义的,最终形成的JSON定义中,也包含针对OBS桶和OBS对象的两条规则
- 对象存储服务OBS虽然存在Region概念,但它是一个全局级服务 对象存储服务OBS虽然存在Region概念,但它是一个全局级服务
- IAM服务下,能够进行IAM权限配置的只有 IAM用户组 和 IAM委托 两类对象,本文总结对这两种对象进行授权的区别和联系 IAM服务下,能够进行IAM权限配置的只有 IAM用户组 和 IAM委托 两类对象,本文总结对这两种对象进行授权的区别和联系
- IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容,根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式进行 IAM权限(旧称IAM策略)定义了云服务资源授权的细节内容,根据授权精细程度和是否默认存在,分为“系统角色”、“系统策略”和“自定义策略”三大类,在创建“自定义策略”类型的IAM权限时,强烈建议优先考虑“可视化视图”方式进行
- “IAM项目”实现企业云资源的区域性物理隔离,用以区分全局级和项目级服务。当前推荐用企业项目方式来替代IAM项目进行资源划拨和隔离 “IAM项目”实现企业云资源的区域性物理隔离,用以区分全局级和项目级服务。当前推荐用企业项目方式来替代IAM项目进行资源划拨和隔离
- IAM管理员(IAM Administrator)是有权使用本企业IAM服务资源的IAM用户,安全管理员(Security Administrator)权限潜在风险较大,务必谨慎授予 IAM管理员(IAM Administrator)是有权使用本企业IAM服务资源的IAM用户,安全管理员(Security Administrator)权限潜在风险较大,务必谨慎授予
- 默认就存在的admin用户组是云企业的董事会领导集体,拥有企业管理员权限,可以使用企业购买的任何云服务资源 默认就存在的admin用户组是云企业的董事会领导集体,拥有企业管理员权限,可以使用企业购买的任何云服务资源
- IAM用户组(IAM usergroup)是可进行资源授权的对象之一,可实现企业内部员工的资源访问控制 IAM用户组(IAM usergroup)是可进行资源授权的对象之一,可实现企业内部员工的资源访问控制
上滑加载中
推荐直播
-
2024创原会年度技术峰会2024/12/20 周五 09:00-12:00
华为云讲师团
2024创原会年度技术峰会将于12月20日在海南万宁石梅湾威斯汀酒店举办,本次大会将以“智能・进化”为主题探讨从Cloud Native到AI Native的新阶段企业如何通过AI技术重塑企业应用,围绕AI如何在千行万业落地进行深入交流,探索可以先行先试先成功的创新场景和实现路径。
回顾中 -
华为云开发者日·2024年度创享峰会2024/12/23 周一 14:00-16:00
华为云讲师团
华为云开发者日HDC.Cloud Day是面向全球开发者的旗舰活动,汇聚来自千行百业、高校及科研院所的开发人员。致力于打造开发者专属的技术盛宴,全方位服务与赋能开发者围绕华为云生态“知、学、用、创、商”的成长路径。通过前沿的技术分享、场景化的动手体验、优秀的应用创新推介,为开发者提供沉浸式学习与交流平台。开放创新,与开发者共创、共享、共赢未来。
去报名 -
GaussDB管理平台TPOPS,DBA高效运维的一站式解决方案2024/12/24 周二 16:30-18:00
Leo 华为云数据库DTSE技术布道师
数据库的复杂运维,是否让你感到头疼不已?今天,华为云GaussDB管理平台将彻底来改观!本期直播,我们将深入探索GaussDB管理平台的TPOPS功能,带你感受一键式部署安装的便捷,和智能化运维管理的高效,让复杂的运维、管理变得简单,让简单变得可靠。
去报名
热门标签