- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
- 场景代码示例
-
常见问题
- 热点问题·
-
产品咨询
- 什么是云连接服务?
- 配置云连接服务一共有哪几个步骤?
- 云连接服务与VPC Peering有什么区别?
- 完成云连接服务的配置后,如何测试连通性?
- 云连接服务支持哪些网络实例类型?
- 一个云连接实例是否只能绑定一个共享带宽包?
- 云连接配置的域间带宽上下行速率一致吗?
- 云连接限速是什么?
- 云连接的出方向和入方向对应的域间带宽监控图怎样查看?
- 云连接当前存在哪些限制?
- 管理控制台界面中在哪里添加云连接路由?
- 云连接互访的主机需要购买EIP吗?
- 云连接带宽包大小能否修改?具体如何操作?
- 我修改了云连接的域间带宽大小,为什么测试没有生效?
- 如何修改云连接的域间带宽大小?
- 云连接中已经加载了A区域到B区域的网络实例,如果需要加载A区域到C区域,需要新建云连接吗?
- 云连接的线路是物理线路还是逻辑隔离?
- 云连接是立即开通立即使用吗?
- 云连接服务资源到期后会保留用户等级吗?
- 云连接如何实现高可用?
- 管理控制台及页面使用
- 带宽包
- 带宽、丢包与延迟问题
- 跨境资质咨询
- 组网与使用场景
- 跨账号授权管理类
- 账号权限
- 监控类
- 配额类
- 文档下载
- 通用参考
展开导读
链接复制成功!
权限和授权项说明
如果您需要对您所拥有的Cloud Connect进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号所具备的权限功能已经能满足您的要求,您可以跳过本章节,不影响您使用Cloud Connect服务的其它功能。
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托或信任委托)对华为云资源的访问范围。目前IAM支持两类授权,一类是角色与策略授权,另一类为身份策略授权。
两者有如下的区别和关系:
名称 |
核心关系 |
涉及的权限 |
授权方式 |
适用场景 |
---|---|---|---|---|
角色与策略授权 |
用户-权限-授权范围 |
|
为主体授予角色或策略 |
核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接给用户授权,需要维护更多的用户组,且支持的条件键较少,难以满足细粒度精确权限控制需求,更适用于对细粒度权限管控要求较低的中小企业用户。 |
身份策略授权 |
用户-策略 |
|
|
核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强,更方便,但相对应的,整体权限管控模型构建更加复杂,对相关人员专业能力要求更高,因此更适用于中大型企业。 |
例如:如果需要对IAM用户授予可以创建华北-北京四区域的ECS和华南-广州区域的OBS的权限,基于角色与策略授权的场景中,管理员需要创建两个自定义策略,并且为IAM用户同时授予这两个自定义策略才可以实现权限控制。在基于身份策略授权的场景中,管理员仅需要创建一个自定义策略,在策略中通过条件键“g:RequestedRegion”的配置即可达到策略对于授权区域的控制。将策略附加主体或为主体授予该策略即可获得相应权限,权限配置方式更细粒度更灵活。
两种授权场景下的策略/身份策略、授权项等并不互通,推荐使用身份策略进行授权。
账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
例如,用户要调用接口来查询云连接实例列表,那么在基于角色与策略授权的场景中,这个IAM用户被授予的权限中必须包含允许“cc:cloudConnections:list”的授权项,该接口才能调用成功。在基于身份策略授权的场景中,这个IAM用户被授予的权限中包含“cc:cloudConnections:list”的授权项,该接口才能调用成功。