如果您需要同步华为云账号资源并选择手动配置的方式添加子账号,则需要先前往华为云控制台,创建自定义权限策略、用户组和子账号,并完成相关授权。操作完成后,即可获取 AK 和 SK。
已有华为云资源主账号和密码。
华为云权限获取需要分别配置全局级服务(如 IAM 和 TOS 等)和项目级服务(如 ECS 等),因此需要创建两个权限策略。关于全局服务权限和项目服务权限的差异,可参见华为云系统权限说明。
登录华为云IAM控制台。
在页面左侧,选择权限管理>权限。
在页面右上角单击创建自定义策略。
创建策略并配置策略参数。
创建全局级策略并确认。
MultiCloudSecurity_1
。{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:*:get*", "obs:*:list*", "obs:bucket:HeadBucket", "obs:bucket:PutEncryptionConfiguration", "obs:bucket:PutBucketVersioning", "obs:bucket:PutBucketAcl", "obs:bucket:PutBucketPolicy" ] }, { "Effect": "Allow", "Action": [ "iam:tokens:assume", "iam:*:get*", "iam:*:check*", "iam:*:list*" ] } ] }
创建项目级策略并确认。
MultiCloudSecurity_2
。{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*:get", "ecs:*:list", "ecs:securityGroups:use", "ecs:serverKeypairs:*" ] }, { "Effect": "Allow", "Action": [ "vpc:*:get", "vpc:*:list", "vpc:routers:get", "vpc:securityGroups:*", "vpc:securityGroupRules:*" ] }, { "Effect": "Allow", "Action": [ "nat:*:get", "nat:*:list" ] }, { "Effect": "Allow", "Action": [ "elb:*:get", "elb:*:list" ] }, { "Effect": "Allow", "Action": [ "eip:*:get", "eip:*:list" ] }, { "Effect": "Allow", "Action": [ "hss:*:*" ] }, { "Effect": "Allow", "Action": [ "dcs:whitelist:modify" ] }, { "Effect": "Allow", "Action": [ "cfw:attackLog:list", "waf:event:get" ] } ] }
更多关于创建华为云自定义策略的信息,请参见创建自定义策略。
多云安全平台
。说明
步骤一中创建的两个策略都要授权给用户组。