无法找到特定服务的权限怎么办?
天翼云服务分为项目级服务和全局级服务两种,需正确选择权限作用范围才能找到特定权限。如对象存储OBS属于全局级服务,弹性云主机属于项目级服务。
如已正确选择服务级别和服务名称仍无法找到服务,则该需要设置权限的服务暂不支持IAM。
权限没有生效怎么办?
企业管理员在IAM控制台给IAM用户设置权限后,IAM子用户登录天翼云后发现权限没有生效,无法使用服务。
- 可能原因:管理员授予IAM用户所在用户组的权限不正确。
解决方法:管理员确认并修改授予IAM用户所在用户组的权限,方法请参考:用户指南 > 用户组及授权。
- 可能原因:管理员授予的权限已拒绝相关操作的授权项。
解决方法:管理员查看已授予IAM用户的系统权限详情,确认已授予的权限是否有拒绝操作的语句,方法请参考:用户指南 > 权限管理> 策略。如系统权限无法满足您的场景需要,管理员可以创建自定义策略,允许该操作对应的授权项,方法请参考:用户指南> 权限管理> 自定义策略。
- 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。
解决方法:管理员将IAM用户添加至用户组中,方法请参见:用户指南 > 用户组及授权> 用户组添加/移除用户。
- 可能原因:对于区域级服务,管理员没有在在对应的区域进行授权。
解决方法:管理员在对IAM所在用户组授权时,选择对应的区域。如果管理员授予用户默认区域项目的权限,用户只能访问该默认项目中的资源,不拥有该默认项目下IAM子项目的权限,建议您授予IAM用户最小区域权限,方法请参见:用户指南 > 用户组及授权> 创建用户组并授权。
- 可能原因:对于区域级服务,IAM用户登录控制台后,没有切换到授权区域。
解决方法:IAM用户访问区域级服务时,请切换至授权区域,方法请参见:用户指南 > 项目。
- 可能原因:管理员授予的OBS权限由于系统设计的原因,授权后需等待15-30分钟才可生效。
解决方法:请IAM用户和管理员等待15-30分钟后重试。
- 可能原因:浏览器缓存导致权限信息未更新。
解决方法:请清理浏览器缓存后重试。
- 可能原因:管理员同时在IAM和企业管理给用户授权,基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理。
解决方法:请管理员根据情况在IAM控制台修改用户权限。
同时设置了IAM和企业项目管理授权时的检查规则
用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下:
- 用户发起访问请求。
- 系统在用户被授予的访问权限中,优先寻找基于IAM项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果在基于IAM项目的权限中没有找到请求对应的action,系统将继续寻找基于企业项目授权的权限,在权限中寻找请求对应的action。
- 如果找到匹配的Allow或者Deny的action,系统将返回对请求的鉴权决定,Allow或者Deny,鉴权结束。
- 如果用户不具备任何权限,系统将返回鉴权决定Deny,鉴权结束。
