检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
分布式消息服务Kafka版 删除实例 分布式消息服务RabbitMQ版 删除实例 分布式消息服务RocketMQ版 删除实例 数据库 云数据库 RDS for MySQL 重置管理员密码 删除数据库实例 删除数据库备份 通过备份文件恢复到已有实例 按指定时间点恢复到已有实例 切换主备节点 修改数据库端口
本章节指导用户如何使用API调用的方式对IAM用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM ReadOnlyAccess(推荐)或Security Administrator权限。 总体思路 对IAM用户的权限进行安全审计,步骤如下:
允许(Allow)和拒绝(Deny),当策略中既有Allow又有Deny的授权语句时,遵循Deny优先的原则。 Action 是 StringArray 权限集,对资源的具体操作权限,不能超过100个。 格式为: 服务名:资源类型:操作,例如:vpc:ports:create。 “服务名”为产品名称,例
企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务
调整配额 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM用户、用户组等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 数据库运维 RDS FullAccess 云数据库(RDS)的所有执行权限,包括购买RDS的权限,仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS
权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。
授权语句,描述自定义策略的具体内容。 表8 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。
获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。 在华为云上创建身份提供商 在IAM控制台上创建身份提供商,配置身份提供商的元数据文件后,可以在IAM中建立对企业IdP的信任关系,使得企业用户可以直接访问华为云。 进入IAM控制台,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。
身授予权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。详情请参见给IAM用户授权。如需查看所有云服务的系统权限,请参见:系统权限。 前提条件 在创建用户组前,建议管理员提前了解并规划以下内容:
系统策略更名详情 现对系统策略(即细粒度策略类型)名称进行调整,新的策略名称将于2020/2/6 22:30:00(北京时间)正式生效。本次调整仅涉及对系统策略名称的修改,不会影响您的业务,请放心使用。原始系统策略为Version 1.0,目标系统策略为Version 1.1,当前IAM兼容两个版本。
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色一并授
否 AK/SK不能直接修改,可以删除旧的AK/SK后重新创建AK/SK。 否 调用API接口时,需要使用AK/SK对请求进行签名 数据存储安全 IAM通过加密算法对用户个人敏感数据加密后进行存储。 用户名、AK:不属于敏感数据,明文存储。 密码:使用加盐的SHA512算法进行加密存储。
基本概念 使用API涉及的常用概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号
用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录:
责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。 父主题: 数据保护技术
开通云审计服务 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件,例如
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
企业管理华为云上多租户的联邦认证 场景描述 部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security
服务,代替您进行日常工作。 策略:该服务是否支持通过策略进行权限管理。策略是以JSON格式描述一组权限集的语言,它可以精确地允许或拒绝用户对服务的资源类型进行指定的操作。 企业项目:该服务是否支持基于企业项目授权。关于企业项目请参见《企业管理服务用户指南》 “√”表示支持,“x”表示暂不支持。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
