检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
填写"policy"参数,即用户自定义策略的信息,用于限制获取到的临时访问密钥和securitytoken的权限(当前仅适用限制OBS服务的权限)。如果填写此参数,则临时访问密钥和securitytoken的权限为:委托具有的权限和policy参数限制的权限交集。 POST https://iam
token(OIDC协议)中的属性。 any_one_of 否 Array of strings 输入属性值中包含指定值才生效,并返回布尔值,返回值不能用于local块中的占位符。在同一个remote数中,any_one_of与not_any_of互斥,两者至多填写一个,不能同时填写。 not_any_of
表示IdP断言中的属性。 any_one_of 否 Array of strings 输入属性值中包含指定值才生效,并返回布尔值,返回值不能用于local块中的占位符。在同一个remote数组元素中,any_one_of与not_any_of互斥,两者至多填写一个,不能同时填写。
用户名:企业IdP用户在华为云中显示不同的用户名。 用户权限:赋予企业管理系统用户使用华为云资源的权限。由于华为云权限的最小授权单位是用户组,因此需要建立联邦用户与IAM用户组的映射关系,从而使得联邦用户获得对应用户组的权限,使用华为云上的资源。配置时请确保已创建需要映射的IAM用户组,创建IAM用户组并授权请参见:创建用户组并授权。
单击按钮,可以获取到事件操作记录的最新信息。 在需要查看的事件左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。 关于事件结构的关键字段详解,请参见《云审计服务用户指南》中的事件结构和事件样例。 (可选)在旧版
联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时,联邦用户具有所属用户组的权限;当不满足生效条件时,该规则不生效,且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。
针对以上企业需求,可以使用IAM的委托功能来实现跨账号的资源授权与管理。 A账号在IAM控制台创建一个委托,指定委托的使用者为B账号,并将需要代运维的资源授权给这个委托。 B账号进一步授权,将A账号委托的资源分配给账号下专职管理委托的IAM用户,让IAM用户帮助管理。 当合作关系发生变更时,A账号随时
该接口可以用于通过OpenID Connect ID token方式获取联邦认证token。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST
RulesLocal objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote Array<Object> 表示联邦用户在IdP中的用户信息。由断言属性及运算符组成的表达式,取值由断言决定。 表7 mappings
非华为云账号获取Token 如果您的华为云账号已升级为华为账号,将不支持获取账号Token,建议您为自己创建一个IAM用户,授予该用户必要的权限,获取IAM用户Token。 如果您是第三方系统用户,直接使用联邦认证的用户名和密码获取Token,系统会提示密码错误。请先在华为云的登录页面,通过“忘记密码”功能,设置华为云账号密码。
token(OIDC协议)中的属性。 any_one_of Array of strings 输入属性值中包含指定值才生效,并返回布尔值,返回值不能用于local块中的占位符。在同一个remote数组元素中,any_one_of与not_any_of互斥,两者至多填写一个,不能同时填写。 not_any_of
在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略 选择“资源类型”为“所有资源”。 配置可以提交订单的策略。 选择“允许”。
Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack Client的操作只需要普通用户权限。 接口调用操作应该在一个安全的网络环境中进行(在VPN或者在租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用文本编
委托描述信息,长度不大于255位。四个参数至少填写一个。 duration 否 String 委托的期限,单位为“天”。四个参数至少填写一个。 取值范围: FOREVER:表示委托的期限为永久。 ONEDAY:表示委托的期限为一天。 自定义天数:表示委托的期限为有限天数,如20。 响应参数 表5
选择“委托”页签,将鼠标移动到需要查询ID的委托上,黑色框中出现的第二行为委托ID,单击委托ID右侧的直接复制 图1 agency_id domain_id 在控制台右上角的用户名下拉菜单中选择“我的凭证”,在“我的凭证”界面,“API凭证”页签中查看并复制账号ID。 图2 domain_id
理自己账号中的资源,则需要获取自己的用户token。详情请参考:委托其他账号管理资源。 token是系统颁发给用户的访问令牌,承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时,可以使用本接口获取的token进行鉴权。 该接口可以使用全局区域的Endpoint和其他区域
IAM功能 IAM为您提供的主要功能包括:精细的权限管理、安全访问、敏感操作、通过用户组批量管理用户权限、区域内资源隔离、联合身份认证、委托其他账号或者云服务管理资源、设置安全策略。 精细的权限管理 使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。例如:
委托 策略 企业项目 云数据库 RDS 除全局区域外的其他区域 √ √ x √ √ 文档数据库服务 DDS 除全局区域外的其他区域 √ x x √ √ 分布式数据库中间件 DDM 除全局区域外的其他区域 √ √ x √ √ 数据复制服务 DRS 除全局区域外的其他区域 √ √ x √
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计服务中的“CTS
(MFA) 是一种非常简单的安全实践方法,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
