检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
理事件。 在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。 表1 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登录失败(华为账号登录失败不记录) user loginFailed
角色才会生效。策略不存在依赖关系,不需要进行依赖授权。 操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。 选择角色,系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的,查看角色的依赖关系。
SP initiated方式 Openstack和Shibboleth是被广泛使用的一套开源联邦身份认证解决方案,提供了强大的单点登录能力,将用户连接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。
该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3-ext/auth/OS-FEDERATION/SSO/metadata 请求参数 表1 请求Header参数
信息。企业IdP与华为云交互过程中,需要将企业IdP用户的相关信息发送给华为云,华为云会结合接收到的信息和身份转换规则,确定联邦用户的身份和权限。 常用的企业IdP配置参数 表1 常用的企业IdP配置参数 参数名 描述 适用场景 IAM_SAML_Attributes_redirect_url
只能包含如下字符:大小写字母、数字或特殊字符(-_)。 操作限制 表3 操作限制 操作场景 限制项 限制说明 创建IAM用户 单次最多创建IAM用户数量 10个 IAM用户名设置 不能与当前已创建的IAM用户同名。 手机号和邮件地址 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。
响应参数 表5 响应Header参数 参数 参数类型 描述 X-Subject-LoginToken String 签名后的logintoken。 表6 响应Body参数 参数 参数类型 描述 logintoken Object 自定义身份代理登录票据信息。 表7 logintoken
组、区域、委托的名称和ID。 表9 auth.identity.totp 参数 是否必选 参数类型 描述 user 是 Object IAM用户信息。该IAM用户已开启登录保护,并选择以虚拟MFA方式进行身份验证,开启/关闭登录保护方法请参见:敏感操作。 表10 auth.identity
钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作
息。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/auth/tokens 表1 Query参数 参数 是否必选 参数类型 描述
Action为授权项,格式为:服务名:资源类型:操作。 "cts:*:*":表示对云审计的所有操作。其中cts为服务名;“*”为通配符,表示对所有的资源类型可以执行所有操作。 Effect为作用,Deny表示拒绝,Allow表示允许。 配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略,例如“BMS
托的名称和ID。 表9 auth.scope 参数 是否必选 参数类型 描述 domain 否 Object 取值为domain时,表示获取的Token可以作用于全局服务,全局服务不区分项目或区域,如OBS服务。如需了解服务作用范围,请参考系统权限。domain支持id和name
、IAM用户、项目、用户组、区域、委托的名称和ID。id和name,二选一即可。 name 否 String 委托方A的账号名,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name,二选一即可。 表9 auth.scope.project 参数
华为账号是用户访问华为各网站的统一“身份标识”,华为云支持通过该账号登录控制台。 商用 登录华为云 2 支持用户列表显示用户访问方式、MFA状态、密码使用时长、访问密钥状态等 管理员可以选择用户列表显示项,可选项包括:描述、最近一次登录时间、创建时间、访问方式、MFA、密码使用时长、访问密钥状态
(-_)。 图5 输入用户组信息 单击“确定”,完成用户组创建。 返回用户组列表,创建成功的用户组“开发人员组”将会展示在用户组列表中。 步骤二:给用户组授权 A公司的开发人员需要使用的云服务为ECS和OBS,需要为“开发人员组”授予这两个服务的管理员权限。如需查看所有云服务的系统权限,请参见:系统权限。
制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 表5 配置凭证类型和登录保护 凭证类型与登录保护 说明 取值样例 访问密钥 访问密钥(AK/SK,Access
验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
ect/*表示my-bucket桶下my-object目录下的任意对象。 所有资源 授予IAM用户所有资源的相应权限。 (可选)添加条件,单击“添加条件”,选择“条件键”,选择“运算符”,根据运算符类型填写相应的值。 表2 条件参数 参数名称 参数说明 条件键 条件键表示策略语句
识命名。 在华为云上配置授权信息 单击身份提供商列表中“操作”列的“修改”,进入“修改身份提供商”页面。 图3 修改身份提供商 在修改身份提供商页面,选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访问:可以使用支持访问密钥认证的
说明 查询区域列表 该接口可以用于查询区域列表。 查询区域详情 该接口可以用于查询区域详情。 项目管理 接口 说明 查询指定条件下的项目列表 该接口可以用于查询指定条件下的项目列表。 查询指定IAM用户的项目列表 该接口可以用于管理员查询指定IAM用户的项目列表,或IAM用户查询自己的项目列表。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
