检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。 敏感操作 IAM提供敏感操作保护功能,包括登录保护和操作保护,在您登录控制台或者进行敏感操作时,系统将要求
lockout_duration Integer 账号锁定时长(分钟)。 login_failed_times Integer 限定时间内允许的最大登录失败次数。 period_with_login_failures Integer 限定时间长度(分钟)。 session_timeout
token时请求体中scope参数设置为domain,则返回该字段。 project Object 获取token的用户所属账号的项目信息。如果获取token时请求体中scope参数设置为project,则返回该字段。 roles Array of objects token的权限信息。
oad01.obs.cn-north-1.myhuaweicloud.com/non-ecp-script/Client4ShibblethIdP.py 配置企业IdP的登录连接。 表1 常用IdP产品的登录URL IdP URL中标记SP的参数 登录URL示例 ADFS logintorp
委托管理 查询指定条件下的委托列表 查询委托详情 创建委托 修改委托 删除委托 查询全局服务中的委托权限 查询项目服务中的委托权限 为委托授予全局服务权限 为委托授予项目服务权限 查询委托是否拥有全局服务权限 查询委托是否拥有项目服务权限 移除委托的全局服务权限 移除委托的项目服务权限
为用户组授予项目服务权限 查询用户组是否拥有全局服务权限 查询用户组是否拥有项目服务权限 查询用户组的所有项目权限列表 查询用户组是否拥有所有项目指定权限 移除用户组的所有项目服务权限 移除用户组的全局服务权限 移除用户组的项目服务权限 为用户组授予所有项目服务权限 父主题: API
", "name" : "IAMUserA", "enabled" : true, "description" : "IAMDescriptionA", "policy_num" : 2, "lastest_policy_time" : 1589874427000
self String 资源链接地址。 表4 projects 参数 参数类型 描述 is_domain Boolean false. description String 项目描述信息。 links Object 项目的资源链接。 enabled Boolean 项目是否可用。 id String
解决方法:管理员查看已授予IAM用户的系统权限详情,确认已授予的权限是否有拒绝操作的语句,方法请参考策略语法。如系统权限无法满足您的场景需要,管理员可以创建自定义策略,允许该操作对应的授权项,方法请参考:创建自定义策略。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。 解决方法:管理员将
OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess RES RES Admin RES FullAccess
B账号在IAM控制台创建用户,并将管理委托的权限(Agent Operator)授予用户,员工使用这个用户帮助B账号管理委托。 B账号创建自定义的细粒度策略,在细粒度策略中指定一个委托的权限,并将这个细粒度策略授予用户,使得用户仅能管理一个特定的委托。 操作流程 以B账号将委托分配给IAM用户进行管理为例,说明使
/roles/{role_id}/inherited_to_projects 响应示例 无 状态码 状态码 描述 204 查询成功。(具有指定权限) 401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 500 内部服务错误。 错误码 请参见错误码。 父主题: 委托管理
查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。
/identity_providers/{id} { "identity_provider":{ "description":"Stores ACME identities.", "enabled":true } } 响应示例
普通账号:将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源。委托的账号只能是账号,不能是联邦用户、IAM用户。 云服务:授权指定云服务使用其他云服务。详情请参见:委托其他云服务管理资源。 选择“持续时间”,填写“描述”信息。 单击“完成”。 如您不需要给委托授权,在
开通方法请参见:如何开通企业管理。 资源隔离 IAM通过在区域中创建子项目,隔离同一个区域中的资源。以子项目为单位进行授权,用户可以访问指定子项目中的所有资源,详情请参见:项目。 企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还
销对B账号的授权。 解决方案 针对以上企业需求,可以使用IAM的委托功能来实现跨账号的资源授权与管理。 A账号在IAM控制台创建一个委托,指定委托的使用者为B账号,并将需要代运维的资源授权给这个委托。 B账号进一步授权,将A账号委托的资源分配给账号下专职管理委托的IAM用户,让IAM用户帮助管理。
如果设置该参数,返回的响应体中将不显示catalog信息。任何非空字符串都将解释为true,并使该字段生效。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 表3
huawei.com") .withProxyPort(8080); // 使用IAM userB的domainID/ak/sk,初始化指定IAM客户端 {Service}Client,用户B的创建方式见“创建IAM用户”章节 IamClient iamClient = IamClient
发送哪些信息。 配置外部身份ID:配置外部身份ID,建立IAM用户与企业IdP用户的对应关系,当企业IdP用户使用IAM用户SSO时,会以指定外部身份ID的IAM用户身份登录华为云。例如,企业用户"IdP_Test_User"的ID值与IAM用户“Alice”的外部身份ID一致,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
