华为云用户手册

所属用户组 所属用户组表示用户具备的权限，通过修改IAM用户的所属用户组可以修改用户的权限。如需修改用户所属用户组权限，请参见：查看或修改用户组。 只能修改IAM用户的所属用户组，账号属于默认用户组“admin”，不能修改。 单击“加入到用户组”，在“配置用户组”中选择需要加入的用户组。一个用户可以加入一个或是多个用户组。用户加入用户组后，拥有用户组的所有权限。 图3 将IAM用户加入用户组 单击IAM用户所属用户组右侧的“移除”，单击“是”，退出选中的用户组，用户将不再拥有该用户组权限。 图4 将IAM用户移出用户组

基本信息 只能修改IAM用户的基本信息，不能修改账号的基本信息。用户名称、用户ID、创建时间仅支持查看，不支持修改。 图2 修改IAM用户状态、访问方式、描述、外部身份ID 状态：修改IAM用户的状态，IAM用户的状态默认为启用，如果需要停止使用该IAM用户，可以将IAM用户的状态设置为“停用”。停用后，该IAM用户将无法通过任一方式访问华为云，包括管理控制台访问和编程访问。IAM用户也可以自行修改该状态。 访问模式：修改iam用户的访问方式。 请参考如下说明，修改访问模式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移，需要通过访问密钥进行身份验证。 如果当前IAM用户的访问模式为编程访问或编程访问和管理控制台访问，取消编程访问可能会使IAM用户无法访问华为云服务，请谨慎修改。 描述：修改IAM用户的描述信息。 外部身份ID：IAM SSO类型的联邦用户单点登录中，与当前实体IAM用户对接的，企业自身用户的身份ID值。

策略内容 给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ] } 父主题： 策略

密码设置策略 图1 密码设置策略 密码至少包含字符种类（大写字母、小写字母、数字、特殊字符）默认为2种，可以在2~4种之间设置。 密码最小长度默认为8个字符，可以在8~32个字符之间设置。 （可选）开启“设置密码时同一字符不能连续出现”，设置密码中允许同一字符连续出现的最大次数。例如设置为1，表示密码中不允许出现相同字符。 （可选）开启“新密码不能与最近的历史密码相同”，设置新密码不能与最近几次的历史密码相同。例如设置为3，表示不能使用最近三次的历史密码，用户在设置新密码时，如果新密码与历史密码相同，系统将会提示用户不能使用最近三次的历史密码，需要重新设置密码。 修改密码设置策略，将对后续新增IAM用户和后续修改密码的账号以及账号下的IAM用户生效。

角色内容 给用户组选择角色时，单击角色前面的，可以查看角色的详细内容，以“DNS Administrator”为例，说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" }, { "catalog": "VPC", "display_name": "VPC Administrator" } ] }

参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0：代表基于角色的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DNS:Zone:*"：表示对DNS的Zone所有操作。其中“DNS”为服务名；“Zone”为资源类型；“*”为通配符，表示对Zone资源类型可以执行所有操作。 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明： 给用户组授予示例的“DNS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”，“DNS Administraor”才会生效。 了解更多角色依赖关系，请参考：系统权限。

操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限，可以切换角色。 鼠标移动至右上方的用户名，选择“切换角色”。 图1 切换角色 在“切换角色”页面中，输入委托方的账号名称。 图2 输入委托方的账号名称、委托名称 输入账号名称后，系统将会按照顺序自动匹配委托名称，如果自动匹配的是没有授权的委托，系统将提示您没有权限访问，您可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。

登录方法：IAM用户专属链接 此方法需要向管理员获取专属登录链接，获取后建议您保存该链接，方便后续快速登录。使用IAM用户专属链接登录时，系统会自动识别用户的账号名，用户仅需要填写用户名和密码，方便用户快速登录。 管理员在IAM控制台，复制“IAM用户登录链接”，并将链接发送给用户。 图2 IAM用户登录链接 用户在浏览器中打开复制的地址，输入“用户名/邮件地址”和“密码”，单击“登录”，完成登录。 图3 IAM用户通过链接登录

登录方法1：华为云登录页面 在华为云的登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入账号名，IAM用户名/邮件地址和密码。 图1 IAM用户登录 租户名/原华为云账号：IAM用户所属的账号，即华为云账号。如果不知道账号名，请向管理员获取。 IAM用户名/邮件地址：在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道用户名及初始密码，请向管理员获取。 IAM用户密码：IAM用户的密码，非账号密码。 单击“登录”，完成登录。 如果创建IAM用户时，IAM用户没有加入任何用户组，则IAM用户不具备任何权限，不能对云服务进行操作，需要联系管理员参考创建用户组并授权和用户组添加/移除用户给IAM用户授权。 如果创建IAM用户时，IAM用户加入了默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。

验证联邦用户权限 配置身份转换规则后，查看联邦用户是否已有相应权限。 联邦用户登录。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云中显示的用户名，以下简称“联邦用户名”。 为了区分华为云的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云，进入IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API，例如：0ccad098-b8f4-495a-9b10-613e2a5exxxx。若未进行访问控制配置，则默认用户从所有VPC Endpoint都能访问API。 “允许访问的IP地址区间”、“允许访问的IP地址区间或网段”和“允许访问的VPC Endpoint”，如果同时设置，只要满足其中一种即可允许访问。 单击“恢复默认值”，可以将“允许访问的IP地址区间”恢复为默认值，即0.0.0.0~255.255.255.255，同时将“允许访问的IP地址区间或网段”、“允许访问的VPC Endpoint ”清空。

创建项目 在IAM控制台的左侧导航窗格中，选择“项目”页签，单击“创建项目”。 图2 创建项目 在“所属区域”下拉列表中选择需要创建子项目的区域。 输入“项目名称”。 项目名称的格式为：区域默认项目名称_子项目名称，区域默认项目名称不允许修改。 项目名称可以由字母、数字、下划线（_）、中划线（-）组成。“区域名称_项目名称”的总长度不能大于64个字符。 （可选）输入“描述”。 单击“确定”，项目列表中显示新创建的项目。

操作步骤 创建用户组并授权。 在用户组界面，单击“创建用户组”。 输入“用户组名称”。 单击“确定”，用户组创建完成。 单击新建用户组右侧的“授权”。 创建自定义策略。 如果需要授予IAM用户精细的委托权限，仅管理指定的委托，请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权，授予IAM用户管理所有的委托权限，请跳过该步骤，直接执行f。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 本文简要讲述快速完成委托细粒度授权的必要操作，更多权限内容，详情请参考权限管理。 单击“下一步”，继续完成授权。 选择上一步创建的自定义策略或者“Agent Operator”权限，单击“下一步”。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权范围方案。 单击“确定”，用户组授权完成。 创建IAM用户并加入用户组。 在用户界面，单击“创建用户”。 在创建用户界面，输入用户信息。 “访问方式”选择“管理控制台访问”中的“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“可选用户组”中，选择1中新创建的用户组，单击“创建用户”。 完成IAM用户创建。 分配委托权限操作完成，新创建的IAM用户可以通过切换角色至委托方账号中，帮助您管理委托资源。

用户组 用户组是用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限，可以基于权限对云服务进行操作。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图6 用户组

权限 IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，IAM用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示，如果您授予IAM用户弹性云服务器ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图7 系统提示没有权限

IAM的使用对象 IAM的使用对象为管理员： 账号：账号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 推荐您在使用IAM前，开通云审计服务CTS，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：开通云审计服务。

在IAM控制台创建云服务委托 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击“创建委托”。 在创建委托页面，设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”，在“云服务”中选择需要授权的云服务。 选择“持续时间”。 （可选）填写“委托描述”。建议填写描述信息。 单击“下一步”，进入给委托授权页面。 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围，给委托授权。 单击“确定”，委托创建完成。

操作步骤 委托方登录华为云。 访问网址：API Explorer-为委托授予所有项目服务权限，进入API Explorer接口运行调试平台。 获取并编辑接口调试参数。 Region 调用API的区域。选择任一区域。 Headers X-Auth-Token：委托方Token。登录华为云后已自动获取，无需编辑。 Params agency_id 在控制台右上角的用户名下拉菜单中选择“统一身份认证”，进入IAM控制台，选择“委托”页签，将鼠标移动到需要查询ID的委托上，黑色框中出现的第二行为委托ID，单击委托ID右侧的直接复制 图1 agency_id domain_id 在控制台右上角的用户名下拉菜单中选择“我的凭证”，在“我的凭证”界面，“API凭证”页签中查看并复制账号ID。 图2 domain_id role_id 权限ID。 权限名称 权限ID Tenant Administrator e2d75429549044d2b313fbdd11520f7d Tenant Guest c40fc1b70fb14140a61ac60c7c292874 role_id只能输入一个权限ID。如需修改多个委托权限，请分别调用该接口。 如需获取其它权限ID，请参见：查看权限列表。 单击“调试”，发送接口请求。 调试成功，为委托授予所有项目服务权限。

操作步骤 当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图2 修改操作保护 在右侧弹出的“操作保护设置”页面中，选择“指定人员验证”，输入验证手机号/邮件地址、验证码。 图3 操作保护设置 单击“确定”，修改验证方式为指定人员验证。 当前验证方式为“指定人员验证” 进入华为云“控制台”。 图4 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图5 修改操作保护 在右侧弹出的“操作保护设置”页面中，选择“关闭”，单击“确定”并进行身份验证，关闭操作保护。 在“安全设置”页面，“敏感操作”页签中，单击操作保护右侧的“立即启用”。 在右侧弹窗中选择“开启”，勾选“操作员验证”或“指定人员验证”。 如选择“指定人员验证”，开启操作保护时，需要进行初次身份核验，确保指定人员验证方式可用。 操作员验证：触发敏感操作的账号或IAM用户进行二次验证。 指定人员验证：账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址，不支持虚拟MFA验证。 单击“确定”，修改操作保护验证方式。

问题描述 管理员开启操作保护后，用户在进行敏感操作时，例如删除资源、生成访问密钥等，需要操作员或指定人员进行验证，避免误操作带来的风险和损失。 开启操作保护后，默认在敏感操作验证成功后的15分钟之内，进行敏感操作无需再次验证。 如当前验证方式为“操作员验证”，修改为“指定人员验证”，请参考：•当前验证方式为“操作员验证”。 如当前验证方式为“指定人员验证”，修改为“操作员验证”或修改指定人员手机号/邮件地址，请参考：•当前验证方式为“指定人员验证”。

解决方法 请选择正确的登录入口。请确认您输入的账号为华为账号或华为云账号，如果您已升级华为账号，请进入“华为账号登录”入口，如图1。如果您暂未升级华为账号，请进入“华为云账号登录”入口，如图2。 如需通过华为官网账号、华为企业合作伙伴、企业联邦用户登录华为云，请参考：登录华为云。 如果您是IAM用户，请进入“IAM用户登录”入口。如果您登录失败，请参考：IAM用户登录失败怎么办。 图1 华为账号登录 图2 华为云账号 “华为账号登录”方式登录华为云时，支持使用手机号、邮件地址、华为账号名、华为云账号名登录。“华为云账号登录”方式登录时，支持使用华为云账号名、邮件地址登录。 如果您已注册华为账号，请输入华为账号绑定的手机号/邮件地址/华为账号名登录华为云，详情请参考：华为账号登录华为云。 如果您未注册华为账号、已注册华为云账号，且华为云账号暂未升级华为账号，请输入原华为云账号名登录。 如您通过华为账号登录，请输入华为账号的密码。如您通过华为云账号登录，请输入华为云账号的密码。

问题排查 系统提示“用户名或密码错误” 可能原因：IAM用户登录时，未切换IAM登录入口。 解决方法：单击“IAM用户”，切换登录入口。 可能原因：租户名/原华为云账号名和IAM用户名输入错误。 解决方法：输入正确的租户名/原华为云账号名和IAM用户名。如果您不知道IAM用户名和所属账号，请联系管理员。 可能原因：密码输入错误。 解决方法：输入正确的密码，如确认字母大小写等。如果您忘记密码，请参考以下方法找回：忘记密码怎么办。 可能原因：修改过期密码或找回密码后，浏览器缓存信息未刷新。 解决方法：请清理浏览器缓存后，重新登录。 系统提示“您的管理员已设置了控制台ACL规则，禁止您所在的终端登录控制台” 可能原因：管理员在IAM控制台设置了访问控制规则，不允许您所在的IP地址区间、IP地址或网段、VPC Endpoint访问华为云。 解决方法：请联系管理员查看控制台ACL规则，从允许访问的设备登录华为云或由管理员修改访问控制规则。详情请参考：访问控制。

示例场景 A公司是一家负责网站开发的公司，公司地址位于中国上海，公司中有三个职能团队。为了方便A公司统一购买、分配资源并管理用户，A公司的人员不需要每人都注册账号，而是由公司的管理员注册一个账号，在这个账号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。关于账号和IAM用户的概念，详情请参见：IAM基本概念。 本文以A公司使用IAM创建用户及用户组为例，帮助您快速了解，企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应图1中的“admin”），进行权限分配，资源调配等。团队成员包括James和Alice。 负责开发公司网站的开发团队（对应图1中的“开发人员组”）。团队成员包括Charlie和Jackson。 对开发团队开发出的网站进行测试的测试团队（对应图1中的“测试人员组”）。团队成员包括Jackson和Emily。其中Jackson同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图1 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务。 开发人员组在网站开发过程中，需要使用弹性云服务器（ECS）、弹性负载均衡（ELB）、虚拟私有云（VPC）、关系型数据库（RDS）、云硬盘（EVS）以及对象存储服务（OBS）。 测试人员主要负责网站的功能及性能测试，需要使用应用性能管理（APM）。

给用户组授权 A公司的开发人员需要使用的云服务为ECS、RDS、ELB、VPC、EVS和OBS，需要为“开发人员组”授予这六个服务的管理员权限。测试人员需要使用云服务APM，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统权限，请参见：系统权限。 确定所需权限。 通过查看系统权限，需要设置的权限如表1所示。其中“作用范围”由该服务的物理部署位置决定。对于项目级服务，如果在某个区域的项目中设置策略，则策略只在该项目中生效。 表1 所需权限 用户组 使用的服务 所属区域 设置策略或角色 开发人员组 ECS 除全局区域外的其他区域 ECS FullAccess RDS 除全局区域外的其他区域 RDS FullAccess ELB 除全局区域外的其他区域 ELB FullAccess VPC 除全局区域外的其他区域 VPC FullAccess EVS 除全局区域外的其他区域 EVS FullAccess OBS 全局区域 OBS OperateAccess 测试人员组 APM 除全局区域外的其他区域 APM FullAccess 在用户组列表中，单击新建用户组“开发人员组”，右侧的“授权”。 图6 授权 设置区域级项目的权限。 由表1可知，除OBS外，其它服务都是项目级服务。勾选需要授予用户组的项目级服务权限，单击“下一步”。 选择授权范围方案为“区域项目”，并选择“华东-上海二”，单击“确定”。 由于A公司位于上海，因此可以在“华东-上海二”设置权限，这样A公司成员访问华为云可减少网络时延，获得更快的访问速度。设置完成后，开发人员组仅在“华东-上海二”有访问权限，访问其它区域将提示没有权限。 设置全局服务的权限。 勾选需要授予用户组的全局服务权限“OBS OperateAccess”，单击“下一步”。 选择授权范围方案为“全局服务”，单击“确定”。 参考2-5的方法，给“测试人员组”授予“华东-上海二”“APM FullAccess”的权限。

用户服务 服务 所属区域 控制台 API 委托 策略 企业项目 账号中心 BSS 除全局区域外的其他区域 √ x x √ x 费用中心 BSS 除全局区域外的其他区域 √ x x √ x 资源中心 BSS 除全局区域外的其他区域 √ x x √ x 企业管理 EPS 全局区域 √ √ x √ x 工单管理 Ticket 全局区域 √ √ x x x 网站备案 全局区域 √ x x x x 专业服务 全局区域 √ x x √ x

EI企业智能 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 ModelArts 除全局区域外的其他区域 √ √ √ √ √ 数据治理中心 DataArts Studio 除全局区域外的其他区域 √ √ √ √ x MapReduce服务 MRS 除全局区域外的其他区域 √ √ x √ √ 数据仓库服务 DWS 除全局区域外的其他区域 √ √ √ √ √ 表格存储服务 CloudTable 除全局区域外的其他区域 √ √ x x √ 数据湖探索 DLI 除全局区域外的其他区域 √ √ x x √ 数据接入服务 DIS 除全局区域外的其他区域 √ √ √ x √ 云搜索服务 CSS 除全局区域外的其他区域 √ √ √ x √ 图引擎服务 GES 除全局区域外的其他区域 √ √ √ x √ 推荐系统 RES 除全局区域外的其他区域 √ √ x √ √ 内容审核 Moderation 除全局区域外的其他区域 √ √ x √ x 对话机器人服务 CBS 除全局区域外的其他区域 √ √ x x x 华为HiLens 除全局区域外的其他区域 √ x x √ x 可信智能计算服务 TICS 除全局区域外的其他区域 √ x x √ x LakeFormation 全局区域 √ √ √ √ √

管理与监管 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 统一身份认证服务 IAM 全局区域 √ √ x √ x 云监控服务 CES 除全局区域外的其他区域 √ √ x √ √ 云审计服务 CTS 除全局区域外的其他区域 √ √ x x x 应用性能管理 APM 除全局区域外的其他区域 √ √ x √ √ 应用运维管理 AOM 除全局区域外的其他区域 √ √ x √ √ 云日志服务 LTS 除全局区域外的其他区域 √ √ x √ √ 标签管理服务 TMS 全局区域 √ √ x x x 应用身份管理服务 OneAccess 全局区域 √ x x √ x

应用服务 服务 所属区域 控制台 API 委托 策略 企业项目 应用管理与运维平台 ServiceStage 除全局区域外的其他区域 √ √ x x x 分布式缓存服务 DCS 除全局区域外的其他区域 √ √ √ √ √ 分布式消息服务Kafka版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RabbitMQ版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RocketMQ版 除全局区域外的其他区域 √ √ x √ √ 消息通知服务 SMN 除全局区域外的其他区域 √ √ x x √ 微服务引擎 CSE 除全局区域外的其他区域 √ √ x x √ 性能测试 CodeArts PerfTest 除全局区域外的其他区域 √ √ x x x API网关 APIG 除全局区域外的其他区域 √ √ x x √ 区块链服务BCS 除全局区域外的其他区域 √ √ x √ √

安全与合规 服务 所属区域 控制台 API 委托 策略 企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 主机安全服务 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x 管理检测与响应 MDR 除全局区域外的其他区域 √ x x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √ √ √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x