检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
None 操作指导 统一身份认证服务 IAM 通过Explorer获取IAM用户Token 04:50 获取IAM用户Token 统一身份认证服务 IAM 创建用户组并授权操作流程 03:42 创建用户组并授权 统一身份认证服务 IAM 创建IAM用户操作流程 04:50 创建IAM
身份认证与访问控制 CSS服务的身份认证和访问控制主要包括两个大的方面:一方面是通过统一身份认证服务(Identity and Access Management,简称IAM)实现服务资源层面的身份认证和访问控制;另一方面是由CSS服务提供的安全集群内的身份认证和访问控制实现。两者是相互独立的模块。
统一身份认证 IAM Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。
服务(OBS)的桶中。详细请参考对象存储服务用户指南。 统一身份认证服务(Identity and Access Management,简称IAM) 云搜索服务CSS使用统一身份认证服务(IAM)进行鉴权。详细请参考统一身份认证服务用户指南。 云监控服务(Cloud Eye) 云
Service)的过程中,如果需要给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全控制云服务资源的访问。 如果当
值为临时访问密钥的security_token。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
使用CSS服务的Elasticsearch集群搭建的统一日志管理平台可以实时地、统一地、方便地管理日志,让日志驱动运维、运营等,提升服务管理效率。 应用场景 本文以Elasticsearch、Filebeat、Logstash和Kibana为例,搭建一个统一日志管理平台。使用Filebeat采集
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 202 CSS.0011 This operation cannot be performed because another operation
统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 IAM策略中不授权KMS的禁止的action IAM用户组添加了IAM用户 IAM用户密码策略符合要求 IAM策略黑名单检查 IAM策略不具备Admin权限 IAM自定义策略具备所有权限 根用户存在可使用的访问密钥
户是否具有使用自定义词库功能的权限,具体操作请参见排查是否有权限。 排查是否有权限 登录统一身份认证服务管理控制台。 查看当前登录所用的账号或IAM用户所属的用户组。 具体操作请参见《统一身份认证服务用户指南》中的查看或修改用户信息章节。 查看用户组的权限中是否包含:“全局服务”中“对象存储服务”项目的“Tenant
创建IAM用户并授权使用CSS 如果您需要对您所拥有的CSS服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建
自己的权限。 创建用户组 A公司管理员登录并进入华为云控制台。 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。 在统一身份认证服务,左侧导航窗格中,单击“用户组”>“创建用户组”。 在“创建用户组”界面,输入“用户组名称”,单击“确定”,完成用户组创建。
500标准的轻量级目录访问协议。基于LDAP协议的LDAP服务可以提供用户身份验证的能力。CSS服务通过使用Opendistro的Security插件,在集群中加入Active Directory作为身份验证后端,使集群无缝接入到LDAP服务中。本文会讲解CSS集群接入LDAP认证的基本方式,并会讲解基本原理。
权限和授权项 如果您需要对您所拥有的CSS(Cloud Search Service)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳
部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任
或IAM用户是否具有备份索引的权限,具体操作请参见排查是否有权限。 排查是否有权限 登录统一身份认证服务管理控制台。 查看当前登录所用的账号或IAM用户所属的用户组。 具体操作请参见《统一身份认证服务用户指南》中的如何查看或修改用户信息章节。 查看用户组的权限中是否包含:“全局服务”中“对象存储服务”项目的“OBS
500标准的轻量级目录访问协议。基于LDAP协议的LDAP服务可以提供用户身份验证的能力。CSS服务通过使用Opendistro的Security插件,在集群中加入Active Directory作为身份验证后端,使集群无缝接入到LDAP服务中。本文会讲解CSS集群接入LDAP认证的基本方式,并会讲解基本原理。
Role mapping 角色映射:用户在成功进行身份验证后会担任角色。角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(
如果您有多个到期日不同的集群,可以将到期日统一设置到一个日期,便于日常管理和续费。 图1展示了用户将两个不同时间到期的资源,同时续费一个月,并设置“统一到期日”后的效果对比。 图1 统一到期日 更多关于统一到期日的规则请参见如何设置统一到期日。 父主题: 续费
创建一个按需收费的Elasticsearch集群 本节通过调用云搜索服务的API创建CSS服务集群,CSS的接口调用流程如图1所示。 图1 接口调用流程 通过IAM服务获取到的Token有效期为24小时,需要使用同一个Token鉴权时,可以先将Token缓存,避免频繁调用。 涉及API
Role mapping 角色映射:用户在成功进行身份验证后会担任角色,角色映射,就是将角色映射到用户(或后端角色)。例如,kibana_user(角色)到jdoe(用户)的映射意味着John Doe在获得kibana_user身份验证后获得了所有权限。同样,all_access(
删除一个检测任务记录 功能介绍 该接口用于删除一个检测任务记录。 调用方法 请参见如何调用API。 URI DELETE /v1.0/{project_id}/clusters/{cluster_id}/ai-ops/{aiops_id} 表1 路径参数 参数 是否必选 参数类型
创建一次集群检测任务 功能介绍 该接口用于创建一个集群检测任务。 调用方法 请参见如何调用API。 URI POST /v1.0/{project_id}/clusters/{cluster_id}/ai-ops 表1 路径参数 参数 是否必选 参数类型 描述 project_id