统一身份认证服务 IAM-华为云

统一身份认证服务 IAM-什么是IAM:IAM的优势

IAM 的优势对华为云的资源进行精细访问控制您注册华为云后，系统自动创建账号，账号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时，避免分享账号的密码。除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理，关于两者的详细区别，请参见：IAM与企业管理的区别。

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:用户服务

用户服务服务所属区域控制台 API 委托策略企业项目账号中心 BSS 除全局区域外的其他区域 √ x x √ x 费用中心 BSS 除全局区域外的其他区域 √ x x √ x 资源中心 BSS 除全局区域外的其他区域 √ x x √ x 企业管理 EPS 全局区域 √ √ x √ x 工单管理 Ticket 全局区域 √ √ x x x 网站备案全局区域 √ x x x x 专业服务全局区域 √ x x √ x

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:应用服务

应用服务服务所属区域控制台 API 委托策略企业项目应用管理与运维平台 ServiceStage 除全局区域外的其他区域 √ √ x x x 分布式缓存服务 D CS 除全局区域外的其他区域 √ √ √ √ √ 分布式消息服务Kafka版除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RabbitMQ版除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RocketMQ版除全局区域外的其他区域 √ √ x √ √ 消息通知服务 SMN 除全局区域外的其他区域 √ √ x x √ 微服务引擎 CSE 除全局区域外的其他区域 √ √ x x √ 性能测试 CodeArts PerfTest 除全局区域外的其他区域 √ √ x x x API网关 APIG 除全局区域外的其他区域 √ √ x x √ 区块链服务BCS 除全局区域外的其他区域 √ √ x √ √

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:EI企业智能

EI企业智能服务所属区域控制台 API 委托细粒度策略企业项目 ModelArts 除全局区域外的其他区域 √ √ √ √ √ 数据治理中心 DataArts Studio 除全局区域外的其他区域 √ √ √ √ x MapReduce服务 MRS 除全局区域外的其他区域 √ √ x √ √ 数据仓库服务 DWS 除全局区域外的其他区域 √ √ √ √ √ 表格存储服务 CloudTable 除全局区域外的其他区域 √ √ x x √ 数据湖探索 DLI 除全局区域外的其他区域 √ √ x x √ 数据接入服务 DIS 除全局区域外的其他区域 √ √ √ x √ 云搜索服务 CSS 除全局区域外的其他区域 √ √ √ x √ 图引擎服务 GES 除全局区域外的其他区域 √ √ √ x √ 推荐系统 RES 除全局区域外的其他区域 √ √ x √ √ 内容审核 Moderation 除全局区域外的其他区域 √ √ x √ x 对话机器人服务 CBS 除全局区域外的其他区域 √ √ x x x 华为HiLens 除全局区域外的其他区域 √ x x √ x 可信智能计算服务 TICS 除全局区域外的其他区域 √ x x √ x LakeFormation 全局区域 √ √ √ √ √

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:管理与监管

管理与监管服务所属区域控制台 API 委托细粒度策略企业项目统一身份认证服务 IAM 全局区域 √ √ x √ x 云监控服务 CES 除全局区域外的其他区域 √ √ x √ √ 云审计服务 CTS 除全局区域外的其他区域 √ √ x x x 应用性能管理 APM 除全局区域外的其他区域 √ √ x √ √ 应用运维管理 AOM 除全局区域外的其他区域 √ √ x √ √ 云日志服务 LTS 除全局区域外的其他区域 √ √ x √ √ 标签管理服务 TMS 全局区域 √ √ x x x 应用身份管理服务 OneAccess 全局区域 √ x x √ x

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:安全与合规

安全与合规服务所属区域控制台 API 委托策略企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 主机安全服务 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:数据库

数据库服务所属区域控制台 API 委托策略企业项目云数据库 RDS 除全局区域外的其他区域 √ √ x √ √ 文档数据库服务 DDS 除全局区域外的其他区域 √ x x √ √ 分布式数据库中间件 DDM 除全局区域外的其他区域 √ √ x √ √ 数据复制服务 DRS 除全局区域外的其他区域 √ √ x √ √ 数据管理服务 DAS 除全局区域外的其他区域 √ x x x x 云数据库（GeminiDB）除全局区域外的其他区域 √ √ x √ √

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:网络

网络服务所属区域控制台 API 委托策略企业项目虚拟私有云 VPC 除全局区域外的其他区域 √ √ x √ √ 弹性负载均衡 ELB 除全局区域外的其他区域 √ √ x √ √ 云解析服务 DNS 全局区域 √ √ x x √ NAT网关除全局区域外的其他区域 √ √ x √ √ 云专线 DC 除全局区域外的其他区域 √ x x x x 虚拟专用网络 VPN 除全局区域外的其他区域 √ x x √ x 云连接 CC 除全局区域外的其他区域 √ x x √ √ VPC终端节点 VPCEP 除全局区域外的其他区域 √ √ x x x

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:存储

存储服务所属区域控制台 API 委托策略企业项目云硬盘 EVS 除全局区域外的其他区域 √ √ x √ √ 存储容灾服务 SDRS 除全局区域外的其他区域 √ √ x x x 云服务器备份 CSBS 除全局区域外的其他区域 √ √ x x x 云硬盘备份 VBS 除全局区域外的其他区域 √ √ x x x 对象存储服务 OBS 全局区域 √ √ √ √ √ 弹性文件服务 SFS 除全局区域外的其他区域 √ √ x √ √ 内容分发网络 CDN 全局区域 √ √ x √ √ 云备份 CBR 除全局区域外的其他区域 √ √ x √ √

统一身份认证服务 IAM

统一身份认证服务 IAM-使用IAM授权的云服务:计算

计算服务所属区域控制台 API 服务委托策略企业项目弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域 √ √ x x x 镜像服务 IMS 除全局区域外的其他区域 √ √ √ √ √ 函数工作流 FunctionGraph 除全局区域外的其他区域 √ √ √ x √ 专属主机 DeH 除全局区域外的其他区域 √ x x √ √

统一身份认证服务 IAM

统一身份认证服务 IAM-基本概念:权限

权限权限根据授权的精细程度，分为策略和角色。角色：角色是IAM最初提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。策略：策略是IAM最新提供的一种细粒度授权的能力，可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM，管理员可以通过给对应云服务提交工单，申请该服务在IAM预置权限。如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。图4 权限内容示例

统一身份认证服务 IAM

统一身份认证服务 IAM-基本概念:虚拟MFA

虚拟MFA 虚拟MFA（Multi-Factor Authentication，简称MFA），是一款能产生6位数字认证码的应用程序，遵循基于时间的一次性密码（Time-Based One-Time Password，TOTP）标准。MFA设备可以基于硬件也可以基于软件，华为云目前仅支持基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，获取认证码并进行身份认证。关于虚拟MFA的详细使用方法请参考：虚拟MFA。

统一身份认证服务 IAM

统一身份认证服务 IAM-基本概念:身份凭证

身份凭证身份凭证是识别用户身份的依据，您通过控制台或者API访问华为云时，需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥，您可以在IAM中管理账号以及账号下IAM用户的身份凭证。密码：常见的身份凭证，密码可以用来登录控制台，还可以调用API接口。访问密钥：即AK/SK（Access Key ID/Secret Access Key），调用API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。

统一身份认证服务 IAM

统一身份认证服务 IAM-基本概念:用户组

用户组用户组是IAM用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限。当某个IAM用户加入多个用户组时，此IAM用户同时拥有多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。图3 用户组与用户

统一身份认证服务 IAM

统一身份认证服务 IAM-构造请求:请求方法

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。在获取IAM用户Token（使用密码）的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

统一身份认证服务 IAM 如何调用API

云服务器内容精选

统一身份认证服务 IAM

7*24

备案

专业服务

退订

建议反馈

售前咨询热线