概述-华为云-IAM
https://support.huaweicloud.com/api-iam/iam_01_0001.html
欢迎使用统一身份认证(Identity and Access Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。
IAM除了支持界面控制台操作外,还提供API供您调用,您可以使用本文档提供的API对IAM进行相关操作,如创建用户、创建用户组、获取Token等。在调用IAM的API之前,请确保已经充分了解IAM的相关概念,详细信息请参见:IAM 产品介绍。
参数说明
本文涉及的参数对应在控制台名称及如何获取,如下表所示:
| API参数名称 |
控制台名称 |
如何从控制台获取 |
|---|---|---|
| domain |
账号 |
|
| domain_id/租户ID |
账号ID |
|
| domain_name/租户名 |
账号名 |
|
| user |
IAM用户 |
|
| group |
用户组 |
|
| group_id |
用户组ID |
终端节点
终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。
IAM的终端节点如表1所示,IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,为了配合其他区域级云服务的API/CLI访问,IAM在其他区域(除全局服务外的所有区域)提供部分API,请您根据使用限制,选择对应区域的终端节点调用API。
| 区域名称 |
区域 |
终端节点(Endpoint) |
|---|---|---|
| 全局 |
global |
iam.myhuaweicloud.com |
| 华北-北京一 |
cn-north-1 |
iam.cn-north-1.myhuaweicloud.com |
| 华北-北京二 |
cn-north-2 |
iam.cn-north-2.myhuaweicloud.com |
| 华北-北京四 |
cn-north-4 |
iam.cn-north-4.myhuaweicloud.com |
| 华东-上海一 |
cn-east-3 |
iam.cn-east-3.myhuaweicloud.com |
| 华东-上海二 |
cn-east-2 |
iam.cn-east-2.myhuaweicloud.com |
| 华南-广州 |
cn-south-1 |
iam.cn-south-1.myhuaweicloud.com |
| 华南-深圳 |
cn-south-2 |
iam.cn-south-2.myhuaweicloud.com |
| 西南-贵阳一 |
cn-southwest-2 |
iam.cn-southwest-2.myhuaweicloud.com |
| 亚太-香港 |
ap-southeast-1 |
iam.ap-southeast-1.myhuaweicloud.com |
| 亚太-曼谷 |
ap-southeast-2 |
iam.ap-southeast-2.myhuaweicloud.com |
| 亚太-新加坡 |
ap-southeast-3 |
iam.ap-southeast-3.myhuaweicloud.com |
| 非洲-约翰内斯堡 |
af-south-1 |
iam.af-south-1.myhuaweicloud.com |
| 拉美-圣地亚哥 |
la-south-2 |
iam.la-south-2.myhuaweicloud.com |
使用限制
IAM的API调用有区域限制,请参考以下说明。
说明:
使用IAM其他区域的域名获取的token和临时ak/sk,不能跨region使用,即在A区域生成的token或者ak/sk仅能调用A区域的服务接口。
https://help.aliyun.com/document_detail/54235.html?spm=a2c4g.11186623.6.908.5db36e06IpBNht
概述-阿里云-RAM
更新时间:2020-08-11 10:03:27
实例RAM角色允许您将一个角色关联到ECS实例,在实例内部基于STS(Security Token Service)临时凭证访问其他云产品的API,临时凭证将周期性更新。即可以保证云账号AccessKey安全,还可以借助访问控制RAM实现精细化控制和权限管理。
应用场景
ECS实例上部署的应用程序在云产品通信中,通过云账号或者RAM用户的AccessKey访问阿里云其他云产品(例如OSS、VPC、RDS等)的API。为了方便和快速地调用,部分用户直接把AccessKey固化在实例中,如写在配置文件中。这种方式存在权限过高、泄露信息和难以维护等问题。实例RAM角色能避免此类问题,例如在ECS实例中使用STS临时凭证访问阿里云的其他云服务。
ECS实例RAM(Resource Access Management)角色让ECS实例扮演具有某些权限的角色,从而赋予实例一定的访问权限。关于角色的详细描述,请参见RAM角色概览。
功能优势
使用实例RAM角色,您可以:
- 借助实例RAM角色,将角色和ECS实例关联起来。
- 使用STS临时凭证访问阿里云的其他云服务。
- 为不同的实例赋予包含不同授权策略的角色,使它们对不同的云资源具有不同的访问权限,实现更精细粒度的权限控制。
- 无需自行在实例中保存AccessKey,通过修改角色的授权即可变更权限,快捷地维护ECS实例所拥有的访问权限。
计费详情
赋予云服务器ECS实例RAM角色不会产生额外的费用。
使用限制
使用实例RAM角色存在如下限制:
- 实例的网络类型必须是专有网络VPC。
- 一台ECS实例一次只能授予一个实例RAM角色。
相关链接
- 如果您要了解支持STS临时凭证的云服务,请参见支持RAM的云服务。
- 如果您要了解如何访问其他云产品的API,请参见借助于实例RAM角色访问其他云产品。
- 如果您要获取临时授权Token的相关信息,请参见获取临时授权Token。