https://mp.weixin.qq.com/s?__biz=MzA5MjM5OTYzNA==&mid=2247487697&idx=1&sn=48e3dfd776ea773ed0e6a6a707286813&chksm=906ce1aca71b68baa282e9f275152194d124526dccd8229448be3b216dc029aa6322c69c1d18&token=1364773178&lang=zh_CN#rd

        默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于授予的权限对云服务进行操作。       ModelArts部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ModelArts时，需要先切换至授权区域。       根据授权精细程度分为角色和策略。策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。

        如果您需要对购买的ModelArts资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。         通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ModelArts的使用权限，但是不希望他们拥有删除ModelArts训练作业等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ModelArts，但是不允许删除ModelArts训练作业的权限策略，控制他们对ModelArts资源的使用范围。      如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ModelArts服务的其它功能。IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。

现象：通过IAM获取的Token调用VIS的API报错APIGW.0301，报错信息：{“error_msg”:“Incorrect IAM authentication information: decrypt token fail xxx”，“error_code”: “APIGW.0301”，“request_id”:“XXXX”}；原因：获取的token无法通过校验。推荐处理方式：（1）先确认获取的Token是否对应该账号，以及Token拷贝使用的过程中是否有遗失部分字符的情况；（2）如果确认步骤（1）没有问题后，联系华为IAM服务人员根据“request_id”进行定位。

现象：通过IAM获取的Token调用调用VIS的API报错VIS.0001, 报错信息{“error_msg”:“The authentication token is abnormal”，“error_code”: “VIS.0001”}；可能原因：用户获取的Token是domain级别的，需要获取project级别的Token。推荐处理方式：（1）首先确认获取Token的方式是否正确，针对各个region进行资源创建时，使用的Token是domain级别的。例如{   "auth": {     "identity": {       "methods": ["password"],       "password": {         "user": {           "name": "James",           "password": "**********",           "domain": {             "name": "A-Company"           }         }       }     },     "scope": {       "domain": {         "name": "A-Company"       }     }   } }如果是domain级别的Token，需要重新获取project级别token，具体可以参见官网资料： 视频接入服务 VIS > API参考> 如何调用API> 认证鉴权，如下：{   "auth": {     "identity": {       "methods": ["password"],       "password": {         "user": {           "name": "James",           "password": "**********",           "domain": {             "name": "A-Company"           }         }       }     },     "scope": {       "project": {         "name": "cn-north-1"       }     }   } }

上次教了实习生一个方案之后，这小子跟运营妹子的关系是越走越近，时不时地撒把狗粮，在我司真正实现了研发运营一家亲~（上回你没看？戳上文剧情回顾：万万没想到，一个技术方案帮实习生追到了运营妹子 ）这回想跟大家聊的，是最近一个可以说有些惊心动魄的项目。自从我开始在华为云网站自学API的技术解决方案之后，我就变成了公司的云服务器技术专家，老板或运维部门想要查询个数据什么的都来找我。近期有一个运营项目的系统正在开发中，运营方规划了一个数据BI模板，列出了需要监测和分析的数据维度，老板干脆让我每周出一份数据报表来支持各方的数据获取和数据分析。让研发出数据报表？这不是逼着李逵绣花么？但是，我能轻易拒绝吗？前几回高光时刻带来的成就感和光环还没褪去呢，不能怂！于是我提了一个方案：可以把云服务器的监控仪表内嵌到我们自己的系统里，这样大家可以随时查询，也方便。老板听了这个方案表示很开心，并同意加入到项目排期中，数据查询功能与系统同期上线，以便及时跟踪运营结果。在老板的笑容里，我看到季度奖金在向我招手。说干就干，执行力咱还是有的。用1天的时间就把程序写完了，在测试的时候发现了一个问题，数据过不来！因为通过内嵌系统登陆云服务器需要经过各种认证，步骤多不说，如果要想实现人人可查询还存在泄密的危险。这可怎么办，系统上线的日期临近，不能因为我这部分影响到项目进展啊！当初拍着胸脯提（chui）的方（niu）案（13），难道就要失败了？不行，再查查！我专门联系了华为云的技术专家，得知可以通过IAM自定义代理免密登录到云服务Console页面，省去认证环节，直接登陆云服务器进行数据查询和获取。那怎么做免密登录呢？他给了我一份文档，内容是这样的： 一、前提条件步骤 1：创建账号I**mainA下的IAM用户userB，并授予Security Administrator和Agent Operator权限（全局服务-全局项目）。将userB的用户名和密码配置到企业系统的配置文件中，密码建议加密存储，以便获取认证token并进一步调用IAM其他Open API。备注：有关创建IAM用户和授权相关操作请参见：创建IAM用户 和 创建用户组并授权  步骤2：创建联邦代理所需委托IAMAgency。委托类型选择“普通账号”，委托的账号填写“DomainA”。备注：有关创建委托相关操作请参见：创建委托（委托方操作） 二、华为云联邦代理登录步骤1：调用IAM API获取STS token1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-CREDENTIAL/securitytokens）获取STS token。填写"session_user"参数，发起一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens请求示例{     "auth": {         "identity": {             "assume_role": {                 "agency_name": "IAMAgency",                 "domain_name": "I**mainA",                 "duration-seconds": 3600,                 "session_user": {                     "name": "SessionUserName"                 }             },             "methods": [                 "assume_role"             ]         }     } }2）获取并记录请求响应体中的STS token信息：credential.access , credential.secret, credential.securitytoken响应示例{   "credential": {     "access": "E6DX0TF2ZREQ4ZAVM5CS",     "expires_at": "2020-01-08T02:56:19.587000Z",     "secret": "w9ePum0qdfac39ErLD0UdjofYkqort6Iw2bmR6Si",     "securitytoken": "gQpjbi1ub3J0aC0..."   } }步骤2：调用IAM API获取logintoken1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取logintoken。发送一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens请求示例{     "auth": {         "securitytoken": {             "access": "LUJHNN4WB569PGAPBDFT",             "id": "gQpjbi1ub3J0a...",             "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLNCUsuFR8"         }     } }2）获取请求响应头中的X-Subject-LoginToken信息。通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数。返回示例{   "logintoken": {     "assumed_by": {       "user": {         "domain": {           "id": "0659ef9c9c80d4560f14c009acf9c4a0",           "name": "I**mainB"         },         "id": "0659ef9d4d00d3b81f26c009fee32b57",         "name": "IAMUserB",         "password_expires_at": "2020-02-16T02:44:57.000000Z"       }     },     "domain_id": "05262121fb00d5c30fbec013bc17a4a0",     "expires_at": "2020-01-23T03:27:26.728000Z",     "method": "federation_proxy",     "session_id": "0012c8e6adda4ce787e90585d10e3e63",     "session_name": "SessionUserName",     "user_id": "07826f367b80d2474ff9c013a48903ee",     "user_name": "I**mainA/IAMAgency"   } }步骤3：构建联邦代理登录地址，完成免密登录联邦代理登录地址的构建规则为：https://auth.huaweicloud.com/authui/federation/login?service={target_console_url}&logintoken={logintoken}&idp_login_url={enterprise_system_loginURL}构建参数说明： {target_console_url}为目的云服务console地址的urlencode编码结果。{logintoken}为步骤2中获取到的logintoken的urlencode编码结果。 {enterprise_system_loginURL}是选填参数，为企业客户自身的登录系统地址的urlencode编码结果。 按照文档的指引，我最终顺利解决了这个问题，项目如期上线，运营方也可以通过免密登陆自己查询和分析运营数据，及时作出优化调整，省时省事还安全。在月度例会上，我因此再一次得到了老板的肯定，开心的同时，也在心里暗想：“看来不能松懈，还得多学习啊~” 据了解，目前API Explorer平台已开放EI企业智能、计算、应用服务、网络、软件开发平台、视频等70+云服务，共上线2000+个API、6000+个错误码。在前期试运行期间，华为云API Explorer平台上的API接口也已被多家企业成功接入。点击查看详情：《华为云一站式API解决方案平台API Explorer上线》华为云API Explorer平台在未来几个月会实现更多功能，比如支持SDK示例代码、CLI等特性，同时也会开放更多的云服务API接口，连接更多开发者实现创新、拓宽创新边界。【拓展阅读】【API进阶之路】因为不会创建云服务器，我被实习生摆了一道【API进阶之路】前浪的绝地反击与自我证明【API进阶之路】甩锅大会上，我是如何绝地求生的【API进阶之路】一个技术预案，让老板当场喊出了“奥利给”【API进阶之路】万万没想到，一个技术方案帮实习生追到了运营妹子!【API进阶之路】一个技术盲点，差点让整个项目翻车【API进阶之路】老板给我涨薪30%！如何通过SDK接口搞定千万级流量直播【API进阶之路】半天搞定百万条手机号归属地查询，竟影响了公司战略方向！【API进阶之路】无法想象！大龄码农的硬盘里有这么多宝藏【API进阶之路】高考要考口语？一场10w+刷屏活动是如何用多模态评测API做出来的【API进阶之路】帮公司省下20万调研费！如何巧用情感分析API实现用户偏好调研【API进阶之路】逆袭！用关键词抽取API搞定用户需求洞察【华为云API学习赛】为入门初学者量身定制的学习平台，以赛带学，学以致用。参赛、邀请都有丰富奖品，还有机会拿P40 5G手机~API入门学习赛·AI人脸识别l   报名地址l   奖项设置API入门学习赛·探险寻宝之旅l   报名地址l   奖项设置

上次教了实习生一个方案之后，这小子跟运营妹子的关系是越走越近，时不时地撒把狗粮，在我司真正实现了研发运营一家亲~（上回你没看？戳上文剧情回顾：万万没想到，一个技术方案帮实习生追到了运营妹子） 这回想跟大家聊的，是最近一个可以说有些惊心动魄的项目。自从我开始在华为云网站自学API的技术解决方案之后，我就变成了公司的云服务器技术专家，老板或运维部门想要查询个数据什么的都来找我。 近期有一个运营项目的系统正在开发中，运营方规划了一个数据BI模板，列出了需要监测和分析的数据维度，老板干脆让我每周出一份数据报表来支持各方的数据获取和数据分析。 让研发出数据报表？这不是逼着李逵绣花么？但是，我能轻易拒绝吗？前几回高光时刻带来的成就感和光环还没褪去呢，不能怂！于是我提了一个方案：可以把云服务器的监控仪表内嵌到我们自己的系统里，这样大家可以随时查询，也方便。 老板听了这个方案表示很开心，并同意加入到项目排期中，数据查询功能与系统同期上线，以便及时跟踪运营结果。在老板的笑容里，我看到季度奖金在向我招手。 说干就干，执行力咱还是有的。用1天的时间就把程序写完了，在测试的时候发现了一个问题，数据过不来！因为通过内嵌系统登陆云服务器需要经过各种认证，步骤多不说，如果要想实现人人可查询还存在泄密的危险。 这可怎么办，系统上线的日期临近，不能因为我这部分影响到项目进展啊！当初拍着胸脯提（chui）的方（niu）案（13），难道就要失败了？ 不行，再查查！我专门联系了华为云的技术专家，得知可以通过IAM自定义代理免密登录到云服务Console页面，省去认证环节，直接登陆云服务器进行数据查询和获取。 那怎么做免密登录呢？他给了我一份文档，内容是这样的： 一、前提条件 步骤 1：创建账号I**mainA下的IAM用户userB，并授予Security Administrator和Agent Operator权限（全局服务-全局项目）。 将userB的用户名和密码配置到企业系统的配置文件中，密码建议加密存储，以便获取认证token并进一步调用IAM其他Open API。备注：有关创建IAM用户和授权相关操作请参见：创建IAM用户（https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046611303.html） 和 创建用户组并授权 （https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046611269.html） 步骤2：创建联邦代理所需委托IAMAgency。 委托类型选择“普通账号”，委托的账号填写“DomainA”。备注：有关创建委托相关操作请参见：创建委托（委托方操作）（https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046613147.html） 二、华为云联邦代理登录步骤1：调用IAM API获取STS token1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-CREDENTIAL/securitytokens）获取STS token。填写"session_user"参数，发起一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens请求示例{     "auth": {         "identity": {             "assume_role": {                 "agency_name": "IAMAgency",                 "domain_name": "I**mainA",                 "duration-seconds": 3600,                 "session_user": {                     "name": "SessionUserName"                 }             },             "methods": [                 "assume_role"             ]         }     } } 2）获取并记录请求响应体中的STS token信息：credential.access , credential.secret, credential.securitytoken响应示例{   "credential": {     "access": "E6DX0TF2ZREQ4ZAVM5CS",     "expires_at": "2020-01-08T02:56:19.587000Z",     "secret": "w9ePum0qdfac39ErLD0UdjofYkqort6Iw2bmR6Si",     "securitytoken": "gQpjbi1ub3J0aC0..."   } }步骤2：调用IAM API获取logintoken1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取logintoken。发送一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens请求示例{     "auth": {         "securitytoken": {             "access": "LUJHNN4WB569PGAPBDFT",             "id": "gQpjbi1ub3J0a...",             "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLNCUsuFR8"         }     } } 2）获取请求响应头中的X-Subject-LoginToken信息。通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数。返回示例{   "logintoken": {     "assumed_by": {       "user": {         "domain": {           "id": "0659ef9c9c80d4560f14c009acf9c4a0",           "name": "I**mainB"         },         "id": "0659ef9d4d00d3b81f26c009fee32b57",         "name": "IAMUserB",         "password_expires_at": "2020-02-16T02:44:57.000000Z"       }     },     "domain_id": "05262121fb00d5c30fbec013bc17a4a0",     "expires_at": "2020-01-23T03:27:26.728000Z",     "method": "federation_proxy",     "session_id": "0012c8e6adda4ce787e90585d10e3e63",     "session_name": "SessionUserName",     "user_id": "07826f367b80d2474ff9c013a48903ee",     "user_name": "I**mainA/IAMAgency"   } } 步骤3：构建联邦代理登录地址，完成免密登录联邦代理登录地址的构建规则为：https://auth.huaweicloud.com/authui/federation/login?service={target_console_url}&logintoken={logintoken}&idp_login_url={enterprise_system_loginURL}构建参数说明：l   {target_console_url}为目的云服务console地址的urlencode编码结果。l   {logintoken}为步骤2中获取到的logintoken的urlencode编码结果。l   {enterprise_system_loginURL}是选填参数，为企业客户自身的登录系统地址的urlencode编码结果。 按照文档的指引，我最终顺利解决了这个问题，项目如期上线，运营方也可以通过免密登陆自己查询和分析运营数据，及时作出优化调整，省时省事还安全。在月度例会上，我因此再一次得到了老板的肯定，开心的同时，也在心里暗想：“看来不能松懈，还得多学习啊~” 据了解，目前API Explorer平台已开放EI企业智能、计算、应用服务、网络、软件开发平台、视频等70+云服务，共上线2000+个API、6000+个错误码。在前期试运行期间，华为云API Explorer平台上的API接口也已被多家企业成功接入。点击查看详情：《华为云新功能上线，体验还能拿码豆》华为云API Explorer平台在未来几个月会实现更多功能，比如支持SDK示例代码、CLI等特性，同时也会开放更多的云服务API接口，连接更多开发者实现创新、拓宽创新边界。【拓展阅读】【API进阶之路】因为不会创建云服务器，我被实习生摆了一道【API进阶之路】前浪的绝地反击与自我证明【API进阶之路】甩锅大会上，我是如何绝地求生的【API进阶之路】一个技术预案，让老板当场喊出了“奥利给”【API进阶之路】万万没想到，一个技术方案帮实习生追到了运营妹子!【API进阶之路】一个技术盲点，差点让整个项目翻车【API进阶之路】老板给我涨薪30%！如何通过SDK接口搞定千万级流量直播【API进阶之路】半天搞定百万条手机号归属地查询，竟影响了公司战略方向！【API进阶之路】无法想象！大龄码农的硬盘里有这么多宝藏【API进阶之路】高考要考口语？一场10w+刷屏活动是如何用多模态评测API做出来的【API进阶之路】帮公司省下20万调研费！如何巧用情感分析API实现用户偏好调研【API进阶之路】逆袭！用关键词抽取API搞定用户需求洞察【华为云API学习赛】为入门初学者量身定制的学习平台，以赛带学，学以致用。参赛、邀请都有丰富奖品，还有机会拿P40 5G手机~API入门学习赛·AI人脸识别l   报名地址l   奖项设置API入门学习赛·探险寻宝之旅l   报名地址l   奖项设置

根据云计算权威组织云安全联盟(CSA)对241位行业专家的最新调查，云计算资源配置错误是导致组织数据泄露的主要原因。那么造成这种风险的主要原因是什么?由于数据规模巨大，因此在云中管理身份及其权限极具挑战性。它不仅仅是人们的用户身份，还包括设备、应用程序和服务。由于这种复杂性，许多组织都会出错。随着时间的推移，这个问题变得越来越严重，因为很多组织在没有建立有效分配和管理权限的能力的情况下扩展了他们的云计算规模。因此，用户和应用程序往往会积累远远超出技术和业务要求的权限，从而造成较大的权限差距。例如，美国国防部的一个军事数据库于2017年对外泄露，这个数据库是美国中央司令部(CENTCOM)和太平洋司令部(PACOM)从社交媒体、新闻网站、论坛和其他公开网站上搜集的18亿条以上互联网帖子，而美国国防部这两个统一作战司令部负责美国在中东地区、亚洲和南太平洋地区的军事行动，它配置了三个AWS S3云存储桶，允许任何经过AWS全球认证的用户浏览和下载内容，而这种类型的AWS帐户可以通过免费注册获得。关注权限为了减轻与滥用云中身份有关的风险，组织正在尝试实施最小特权原则。在理想情况下，应将每个用户或应用程序限制为所需的确切权限。从理论上讲，这个过程应该很简单。第一步是了解已为给定用户或应用程序分配了哪些权限。接下来，应该对实际使用的那些权限进行清点。两者的比较揭示了权限差距，即应保留哪些权限以及应修改或删除哪些权限。这可以通过几种方式来完成。认为过多的权限可以删除或监视并发出警报。通过不断地重新检查环境并删除未使用的权限，组织可以随着时间的推移在云中获得最少的特权。但是，在复杂的云计算环境中确定每个应用程序所需的精确权限所需的工作可能既费力又昂贵。了解身份和访问管理(IAM)控件以全球最流行的AWS云平台为例，该平台提供了可用的最精细身份和访问管理(IAM)系统之一。AWS IAM是一个功能强大的工具，使管理员可以安全地配置对AWS云计算资源的访问。身份和访问管理(IAM)控件拥有2,500多个权限(并且还在不断增加)，它使用户可以对在AWS云平台中的给定资源上执行哪些操作进行细粒度控制。毫不奇怪，这种控制程度为开发人员和DevOps团队带来了相同(可能有人说更高)的复杂程度。在AWS云平台中，其角色作为机器身份。需要授予特定于应用程序的权限，并将访问策略附加到相关角色。这些可以是由云计算服务提供商(CSP)创建的托管策略，也可以是由AWS云平台客户创建的内联策略。担任角色可以被分配多个访问策略或为多个应用程序服务的角色，使“最小权限”的旅程更具挑战性。以下有几种情况说明了这一点。(1)单个应用程序–单一角色：应用程序使用具有不同托管和内联策略的角色，授予访问Amazon ElastiCache、RDS、DynamoDB和S3服务的特权。如何知道实际使用了哪些权限?一旦完成，如何正确确定角色的大小?是否用内联策略替换托管策略?是否编辑现有的内联策略?是否制定自己的新政策?(2)两个应用程序–单一角色：两个不同的应用程序共享同一角色。假设这个角色具有对Amazon ElastiCache、RDS、DynamoDB和S3服务的访问权限。但是，当第一个应用程序使用RDS和ElastiCache服务时，第二个应用程序使用ElastiCache、DynamoDB和S3。因此，要获得最小权限，正确的操作将是角色拆分，而不是简单地调整角色大小。在这种情况下，作为第二步，将在角色拆分之后进行角色权限调整。(3)当应用程序使用的角色没有任何敏感权限，但该角色具有承担其他更高特权角色的权限时，就会发生角色链接。如果权限更高的角色有权访问Amazon ElastiCache、RDS、DynamoDB和S3等各种服务，那么如何知道原始应用程序实际上正在使用哪些服务?以及如何在不中断其他可能同时使用第二个更高权限角色的应用程序的情况下限制应用程序的权限?一种称为Access Advisor的AWS工具允许管理员调查给定角色访问的服务列表，并验证其使用方式。但是，只依靠Access Advisor并不能解决访问权限与解决许多策略决策所需的各个资源之间的问题。为此，有必要深入了解CloudTrail日志以及计算管理基础设施。云中的最小权限最后需要记住，只涉及原生AWS IAM访问控制。将访问权限映射到资源时，还需要考虑几个其他问题，其中包括间接访问或应用程序级别的访问。正如人们所看到的，对于许多组织而言，在云中强制实施最小权限以最小化导致数据泄露或服务中断的访问风险可能是不可行的。通过使用软件来自动化监视、评估和对所有身份(用户、设备、应用程序等)的访问权限进行调整正确大小的新技术正在弥合这种治理鸿沟，以消除风险。

权限管理如果您需要对华为云上购买的RDS资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。通过IAM，您可以在华为云账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有RDS的使用权限，但是不希望他们拥有删除RDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用RDS，但是不允许删除RDS的权限，控制他们对RDS资源的使用范围。如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用RDS服务的其它功能。IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。RDS权限默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。RDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问RDS时，需要先切换至授权区域。根据授权精程度分为角色和策略。角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对RDS服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，RDS支持的API授权项请参见策略及授权项说明 。如表1所示，包括了RDS的所有系统权限。表1 RDS系统策略策略名称/系统角色描述类别依赖关系RDS FullAccess关系型数据库服务所有权限。系统策略无。RDS ReadOnlyAccess关系型数据库服务资源只读权限。系统策略无。RDS ManageAccess关系型数据库服务除删除操作外的DBA权限。系统策略无。RDS Administrator关系型数据库服务管理员。系统角色依赖Tenant Guest和Server Administrator角色，在同项目中勾选依赖的角色。表2列出了RDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。表2 常用操作与系统权限的关系操作RDS FullAccessRDS ReadOnlyAccessRDS ManageAccessRDS Administrator创建RDS实例√x√√删除RDS实例√xx√查询RDS实例列表√√√√表3 常用操作与对应授权项操作名称授权项备注创建数据库实例rds:instance:createrds:param:list界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置KMS Administrator权限。变更数据库实例的规格rds:instance:modifySpec无。扩容数据库实例的磁盘空间rds:instance:extendSpace无。单机转主备实例rds:instance:singleToHa若原单实例为加密实例，需要在项目上配置KMS Administrator权限。重启数据库实例rds:instance:restart无。删除数据库实例rds:instance:delete无查询数据库实例列表rds:instance:list无。实例详情rds:instance:list实例详情界面展示VPC、子网、安全组，需要对应配置vpc:*:get和vpc:*:list。修改数据库实例密码rds:password:update无。修改端口rds:instance:modifyPort无。修改内网IPrds:instance:modifyIp界面查询剩余ip列表需要：vpc:subnets:getvpc:ports:get修改实例名称rds:instance:modify无。修改运维时间窗rds:instance:modify无。手动主备倒换rds:instance:switchover无。修改同步模式rds:instance:modifySynchronizeModel无。切换策略rds:instance:modifyStrategy无。修改实例安全组rds:instance:modifySecurityGroup无。绑定/解绑公网IPrds:instance:modifyPublicAccess界面列出公网ip需要：vpc:publicIps:getvpc:publicIps:list设置回收站策略rds:instance:setRecycleBin无。查询回收站rds:instance:list无。开启、关闭SSLrds:instance:modifySSL无。开启、关闭事件定时器rds:instance:modifyEvent无。读写分离操作rds:instance:modifyProxy无。申请内网域名rds:instance:createDns无。备机可用区迁移rds:instance:create备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。表级时间点恢复rds:instance:tableRestore无。透明数据加密（Transparent Data Encryption，TDE）权限rds:instance:tde仅用于SQL Server数据库实例。修改主机权限rds:instance:modifyHost无。查询对应账号下的主机rds:instance:list无。获取参数模板列表rds:param:list无。创建参数模板rds:param:create无。修改参数模板参数rds:param:modify无。应用参数模板rds:param:apply无。修改指定实例的参数rds:param:modify无。获取指定实例的参数模板rds:param:list无。获取指定参数模板的参数rds:param:list无。删除参数模板rds:param:delete无。重置参数模板rds:param:reset无。对比参数模板rds:param:list无。保存参数模板rds:param:save无。查询参数模板类型rds:param:list无。设置自动备份策略rds:instance:modifyBackupPolicy无。查询自动备份策略rds:instance:list无。创建手动备份rds:backup:create无。获取备份列表rds:backup:list无。获取备份下载链接rds:backup:download无。删除手动备份rds:backup:delete无。复制备份rds:backup:create无。查询可恢复时间段rds:instance:list无。恢复到新实例rds:instance:create界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get恢复到已有或当前实例rds:instance:restoreInPlace无。获取实例binlog清理策略rds:binlog:get无。合并binlog文件rds:binlog:merge无。下载binlog文件rds:binlog:download无。删除binlog文件rds:binlog:delete无。设置binlog清理策略rds:binlog:setPolicy无。获取数据库备份文件列表rds:backup:list无。获取历史数据库列表rds:backup:list无。查询数据库错误日志rds:log:list无。查询数据库慢日志rds:log:list无。下载数据库错误日志rds:log:download无下载数据库慢日志rds:log:download无开启、关闭审计日志rds:auditlog:operate无。获取审计日志列表rds:auditlog:list无。查询审计日志策略rds:auditlog:list无。生成审计日志下载链接rds:auditlog:download无。获取主备切换日志rds:log:list无。创建数据库rds:database:create无。查询数据库列表rds:database:list无。查询指定用户的已授权数据库rds:database:list无。删除数据库rds:database:drop无。创建数据库帐户rds:databaseUser:create无。查询数据库帐户列表rds:databaseUser:list无。查询指定数据库的已授权帐户rds:databaseUser:list无。删除数据库帐户rds:databaseUser:drop无。授权数据库帐户rds:databasePrivilege:grant无。解除数据库帐户权限rds:databasePrivilege:revoke无。任务中心列表rds:task:list无。删除任务中心任务rds:task:delete无。包周期下单bss:order:update无。用户标签操作rds:instance:modify无

CSS权限默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。CSS部署时通过物理区域划分，为项目级服务，需要在各区域（如华北-北京1）对应的项目（cn-north-1）中设置策略，并且该策略仅对此项目生效，如果需要所有区域都生效，则需要在所有项目都设置策略。访问CSS时，需要先切换至授权区域。如下表所示，包括了CSS的所有系统角色。由于华为云各服务之间存在业务交互关系，CSS的角色依赖其他服务的角色实现功能。因此给用户授予CSS的角色时，需要同时授予依赖的角色，CSS的权限才能生效。 CSS系统角色权限类型描述类别所需角色权限一操作权限：创建、删除、扩容CSS集群手动和自动备份CSS集群数据恢复CSS集群数据创建IAM委托创建obs桶创建VPC和安全组Kibana自定义词库系统角色Elasticsearch AdministratorServer AdministratorTenant GuestVPC AdministratorSecurity AdministratorTenant Administrator权限二操作权限：创建、删除、扩容CSS集群手动备份CSS集群数据恢复CSS集群数据Kibana自定义词库系统角色Elasticsearch AdministratorServer AdministratorTenant Guest权限三操作权限：浏览集群列表浏览总览页Kibana系统角色依赖Tenant Guest角色。在同项目中勾选依赖的角色。

    如果您需要对华为云上购买的CSS（Cloud Search Service）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CSS（Cloud Search Service）的使用权限，但是不希望他们拥有删除CSS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CSS，但是不允许删除CSS的权限策略，控制他们对CSS资源的使用范围。如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CSS服务的其它功能。IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助您安全地控制华为云服务和资源的访问权限。IAM无需付费即可使用，您只需要为您账号中的资源进行付费。IAM的优势对华为云的资源进行精细访问控制您注册华为云后，系统自动创建账号，账号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时，避免分享账号的密码。除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理跨账号的资源操作与授权如果您在华为云购买了多种资源，其中一种资源希望由其它账号管理，您可以使用IAM提供的委托功能。使用企业已有账号登录华为云当您希望本企业员工可以使用企业内部的认证系统登录华为云，而不需要在华为云中重新创建对应的IAM用户，您可以使用IAM的身份提供商功能，建立您所在企业与华为云的信任关系，通过联合认证使员工使用企业已有账号直接登录华为云，实现单点登录。

介绍了云搜索服务与其他服务的关系。虚拟私有云（Virtual Private Cloud，简称VPC）云搜索服务的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。弹性云服务器（Elastic Cloud Server，简称ECS）云搜索服务的集群中每个节点为一台弹性云服务器（ECS）。创建集群时将自动创建弹性云服务器作为节点。云硬盘（Elastic Volume Service，简称EVS）云搜索服务使用云硬盘（EVS）存储索引数据。创建集群时，将自动创建云硬盘用于集群存储。对象存储服务（Object Storage Service，简称OBS）云搜索服务的集群快照存储在对象存储服务（OBS）的桶中。统一身份认证服务（Identity and Access Management，简称IAM）云搜索服务使用统一身份认证服务（IAM）进行鉴权。云监控服务（Cloud Eye）云搜索服务使用云监控服务实时监测集群的指标信息，保障服务正常运行。云搜索服务当前支持的监控指标为磁盘使用率和集群健康状态。用户通过磁盘使用率指标可以及时了解集群的磁盘使用情况。通过集群健康状态指标，用户可以了解集群的健康状态。云审计服务（Cloud Trace Service，简称CTS）云审计服务（CTS）可以记录与云搜索服务相关的操作事件，便于日后的查询、审计和回溯。

    我司与2020年5月14日通过了吉大正元PKI数字证书应用方案与鲲鹏云桌面兼容性认证，表明我司PKI产品多场景应用的可适用性、身份认证和访问控制的可靠性。        为了提供更好的用户体验，在保证安全性的同时尽可能减少用户操作，针对所有的登录环节需要进行整套单点登录机制设计，实现虚拟桌面安全登录、虚拟桌面中应用认证等登录环节实现一次成功认证后，后续登录认证不再进行PIN输入操作，极大的减少了用户的操作。                                          通过身份认证网关实现华为云桌面系统应用环节中，实现WI认证和虚拟桌面中应用认证环节基于数字证书的统一身份认证；通过终端安全登录系统实现华为云桌面系统应用环节中，实现虚拟桌面安全登录应用认证环节基于数字证书的统一身份认证。          此次FusionAccess完成华为鲲鹏云桌面兼容性认证，展现了吉大正元在身份认证行业领先地位。数年数十个国内外项目的的合作发展历程， 让吉大正元与华为公司结合更紧密，保障华为云生态的健康发展。                                                           

 随着容器化的快速发展，大数据原有的分布式任务调度模式，正在被基于Kubernetes的技术架构所取代。CCE云容器引擎是华为云推出的支持Kubernetes社区原生应用和工具，应用级自动弹性伸缩，自动化搭建云上容器平台。用户通过云容器引擎可以快速高效的将微服务部署在云端。为方便管理员对CCE资源的权限管理，后台提供了多种维度的细粒度权限管理。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，分别从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下：集群权限：是基于IAM系统策略的授权，可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。命名空间权限：是基于Kubernetes RBAC能力的授权。可以让用户或用户组拥有“工作负载”、“网络管理”、“存储管理”、“命名空间”权限。       基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的命名空间权限，两者是完全独立的，互不影响，但要配合使用。同时，为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）。 通常一个公司中有多个部门或项目，每个部门又有多个成员。所以，在配置权限时需要进行详细设计。如下图所示的组织架构图，权限该如何设置呢？                                                                                               主管：DAVID       由于DAVID需要配置CCE相关的所有权限（包括集群、k8s资源等）。所以，单独为DAVID创建用户组“cce-admin”，并配置所有项目的权限：“CCE Administrator”。 温馨提示：CCE Administrator：CCE的管理员权限，拥有该服务的所有权限，不需要再赋予其他权限。CCE FullAccess、CCE ReadOnlyAccess：CCE的集群管理权限，仅针对与集群相关的资源（如集群、节点）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 运维组长：JAMES       为JAMES创建用户组“cce-sre”，并配置所有项目的权限：“CCE FullAccess”。自此，便有了所有项目的集群管理权限。由于很多工程师都需要只读权限，所以，应创建只读用户组“read_only”。然后，将相关用户都添加到此用户组。最后，在CCE的“权限管理”、“命名空间权限”界面为此用户组逐个赋予所有集群的“view”权限。 开发组长：ROBERT       由于开发组成员并不需要配置集群管理权限，但也要有界面的只读权限，所以，应赋予只读用户组“read_only”CCE界面的只读权限。       同时，再另外赋予其k8s资源的管理员权限。运维工程师：WILLIAM       为WILLIAM创建用户组“cce-sre-b4”，然后配置北京四项目的“CCE FullAccess”。开发工程师：LINDA、PETER       由于前面已经在用户组“read-only”中为两位工程师配置的全局的只读权限，这里只需要再另外配置相应的管理权限即可。   小问题：能否只配置命名空间权限，不配置集群管理权限？由于界面权限是由IAM系统策略进行判断，所以，如果未配置集群管理权限，就没有打开界面的权限。那是否可以使用API呢？答案也是否定的，因为API都需要进行IAM的token认证。那是否可以使用kubectl命令呢？答案是肯定的。但前提是要先从界面上下载kubectl配置文件。所以，如果先配置了集群权限，然后再界面下载认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作k8s集群。  

本人通过个人账户新创建了个IAM账户，现想通过IAM账户登陆华为云平台上物联网平台的开发中，但是在跳转登陆过程中失败（IAM账户已经加入admin分组），一直无法进入OC平台，请问什么原因，如何解决？