检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限,方法请参考:修改用户组权限,权限详情请参考:系统权限。 可能原因:管理员授予的权限已拒绝相关操作的授权项。 解决方法:管理员查看已授予IAM用户的系统权限详情,确认已授予的权限是否有拒绝操作的语句,方法请参考策略语法。如系统权限无法满足您的场景需要,管理员可以创建自定义策略
scanQRCodeLoginFailed OIDC登录成功 user oidcLoginSuccess OIDC登录失败 user oidcLoginFailed SSO登录成功 user iamUserSsoLoginSuccess SSO登录失败 user iamUserSsoLoginFailed
择“切换角色”。 图5 切换角色 IAM用户在“切换角色”页面中,输入委托方的账号名称,输入账号名称后,系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托,系统将提示没有权限访问,可以删除委托名称,在下拉框中选择已授权的委托名称。 单击“确定”,切换至委托方账号中
全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户如何使用API调用的方式对IAM用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM ReadOnlyAccess(推荐)或Security
在用户组列表中,单击“项目团队A_财务”用户组右侧的“授权”。 在用户组选择策略页面中,搜索并选择“Enterprise Project BSS FullAccess”,单击“下一步”。 如果系统策略无法满足需要,您还可以创建授权粒度更细的自定义策略。请单击“创建自定义策略”,跳转至“统一身份认证服务>创建自定义策略”,详情请参考创建自定义策略。
云服务委托 在云服务控制台使用某项资源时,系统提示您自动创建委托,以完成云服务间的协同工作。 以创建弹性文件服务SFS委托为例: 在SFS控制台创建文件系统。 在创建文件系统页面,开启“静态数据加密”。 弹窗提示需要创建SFS委托,单击“确定”,系统自动为您在当前项目创建SFS委托,并授予KMS
调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy 表1 路径参数 参数 是否必选 参数类型
华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。 图4 配置单点登录模型 企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程
参数类型 描述 local Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote Array<Object> 表示联邦用户在IdP中的用户信息。由断
调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-PERMISSION/groups/{group_id}/enterprise-projects 表1 路径参数 参数 是否必选 参数类型
调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy 表1 路径参数 参数 是否必选 参数类型
参数类型 描述 local Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote Array<Object> 表示联邦用户在IdP中的用户信息。由断
IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PATCH /v3.0/OS-ROLE/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 role_id 是 String 待修改的自定
调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-PERMISSION/users/{user_id}/enterprise-projects 表1 路径参数 参数 是否必选 参数类型 描述
token.user 参数 参数类型 描述 OS-FEDERATION object 联邦用户user详情。 domain object 租户详情。 id String 用户id。 name String 用户名。 表7 token.user.OS-FEDERATION 参数 参数类型
调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles
参数类型 描述 local 是 Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote 是 Array of objects 表示联邦用户在IdP中的用户
参数类型 描述 local 是 Array of RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote 是 Array of objects 表示联邦用户在IdP中的用户
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没
IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
