检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM用户管理类 IAM用户登录失败怎么办 如何限制IAM用户从特定IP访问控制台
委托管理类 创建委托时提示权限不足怎么办 如何为委托授予所有项目服务权限
密码最短使用时间(分钟)。 minimum_password_length Integer 密码最小字符数。 number_of_recent_passwords_disallowed Integer 密码不能与历史密码重复次数。 password_not_username_or_invert Boolean
在华为云APP界面右下角选择“我的 > MFA”,可以查看已绑定账号的验证码。 如果虚拟MFA验证码校验不通过,请参考:虚拟MFA验证码校验不通过怎么办。 父主题: 安全设置类
设置”,进入“基本信息”页签修改您的用户密码。 忘记密码 通过登录页面的“忘记密码”功能自行修改密码,详情请参考:忘记账号或IAM用户密码怎么办。 如果您是IAM用户,还可以请管理员修改密码,适用于您没有绑定邮箱或者手机,无法自行修改密码,详情请参考:管理员重置密码。 父主题: 密码凭证类
IAM用户SSO类型的单点登录,华为云必须要为企业IdP用户对应的IAM用户配置外部身份ID。外部身份ID值要与企业IdP的IAM_SAML_Attributes_xUserId值保持一致。您可以在IAM用户创建时配置外部身份ID,或者直接修改现有IAM用户的外部身份ID: 创建IAM用户并设置外部身份ID
Null类型 表8 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值:true、false。条件值为true,要求请求值不存在或者值为null;条件值为false,要求请求值必须存在且值不为null。 示例:请求者的创建桶请求必须来源于VPC。 { "Version":
对应IdP元数据文件中“NameIdFormat”的值。 身份提供商支持的用户名称标识格式。名称标识是身份提供商与联邦用户之间实现通信的一种方式。 支持配置多个,华为云默认使用第一个。 签名证书 是 对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证
Idp用户的IAM_SAML_Attributes_xUserId值与IAM用户的外部身份ID一一对应,一个或多个具有相同IAM_SAML_Attributes_xUserId值的Idp用户均可跳转至对应ID值的SP用户。因此,使用IAM用户SSO登录,请务必在Idp侧断言中设
对应云服务的用户指南,如OBS请求条件。条件键不区分大小写。 运算符 与条件键、条件值一起使用,构成完整的条件判断语句。 值 与条件键、运算符一起使用,当运算符需要某个关键字时,需要输入关键字的值,构成完整的条件判断语句。 图4 添加请求条件 表3 全局级请求条件 全局条件键 条件类型
"Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect":
对应IdP元数据文件中“NameIdFormat”的值。 身份提供商支持的用户名称标识格式。名称标识是身份提供商与联邦用户之间实现通信的一种方式。 支持配置多个,华为云默认使用第一个。 签名证书 是 对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证
"status": "stable" } ] } } 返回值 返回值 描述 300 查询成功。(Multiple Choices) 400 参数无效。 404 未找到相应的资源。 503 服务不可用。 错误码
的权限;当不满足生效条件时,该规则不生效,且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 “属性”、“值”为企业IdP通过SAML断言返回给华为云用户信息;“条件”可选择:empty、any_one_of、not_any_of,详细说明请参见:身份转换规则详细说明。
用户名:FederationUser-IdP_admin 用户组:“admin” 生效条件:“属性”:“_NAMEID_”;“条件”:“any_one_of”;“值”:“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_a
描述:修改IAM用户的描述信息。 外部身份ID:IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。 所属用户组 所属用户组表示用户具备的权限,通过修改IAM用户的所属用户组可以修改用户的权限。如需修改用户所属用户组权限,请参见:查看或修改用户组。
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。
0/OS-AUTH/securitytoken/logintokens)时可以设置logintoken的有效时间,有效时间设置范围为10分钟~12小时。如果传入的值大于临时安全凭证securitytoken剩余的过期时间,则使用临时安全凭证securitytoken剩余的过期时间。 企业IdP自定义代理
禁止该IAM用户创建新的IAM用户和授权; 禁止计算资源实例的操作,如关闭ECS、BMS服务器等; 禁止存储资源实例的操作,如删除OBS桶、删除EVS云硬盘,删除RDS实例等; 禁止删除日志,如删除云日志LTS上的日志、删除CTS追踪器等。 具体操作,详见创建自定义策略、给IAM用户授权。 同时建议您明确
于IAM用户身份验证、重置密码。 外部身份ID IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。 为IAM用户配置基于SAML协议的虚拟用户SSO时,“外部身份ID”为必选参数(不超过128个字符)。 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
