检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
创建用户组并授权 操作场景 如果企业中不需要每个人都注册账号,则可以由企业的管理员注册一个账号,在这个账号下创建用户组并分配权限,然后将创建的IAM用户根据不同的职能加入到不同的用户组中,分发给企业的人员使用。关于账号和IAM用户的概念,详情请参见:IAM基本概念。 本章节以A公
浏览器收到请求后,转发OIDC授权Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的ID Token,向浏览器发送OIDC授权Response。 浏览器响应后转发OIDC授权Response给华为云。
Request,发送给浏览器。 浏览器收到请求后,转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。
获取委托Token 功能介绍 该接口可以用于获取委托方的token。 例如:A账号希望B账号管理自己的某些资源,所以A账号创建了委托给B账号,则A账号为委托方,B账号为被委托方。那么B账号可以通过该接口获取委托token。B账号仅能使用该token管理A账号的委托资源,不能管理自
登录华为云 您可以通过以下方式登录华为云,如图1所示。 华为云账号:您首次使用华为云时创建的账号,该账号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限。如果您需要以账号身份登录华为云,请参考: 华为账号登录:华为账号是您访问华为各网站的统一“
获取IAM用户Token(使用密码) 功能介绍 该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户的Token。Token是系统颁发给IAM用户的访问令牌,承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时,可以使用本接口获取的IAM用户Token进行鉴权。但
Request,发送给浏览器。 浏览器收到请求后,转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码,企业IdP对用户提供的身份信息进行验证,并构建携带用户信息的SAML断言,向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目
Request进行重新封装后转发SAML Request给IdP。 用户输入用户名和密码完成身份认证。 用户认证成功后,IdP构建携带用户身份信息的断言发送SAML Response,请求经过中间媒介Client。 Client对SAML Response进行重新封装后转发SAML Response给公有云。
约束与限制 本节介绍IAM在使用过程中的约束和限制。 配额 查看每个配额项目支持的默认配额,请参考怎样查看我的配额,登录控制台查询您的配额详情。如果需要扩大配额,可以提交工单申请提升配额。 表1 配额 资源分类 限制项 默认配额限制 是否支持调整 用户 IAM用户数 50 是 提交工单申请提升配额
开通云审计服务 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件,例如
获取IAM用户Token(使用密码+虚拟MFA) 功能介绍 该接口可以用于通过用户名/密码+虚拟MFA的方式进行认证,在IAM用户开启了的登录保护功能,并选择通过虚拟MFA验证时获取IAM用户Token。Token是系统颁发给用户的访问令牌,承载用户的身份、权限等信息。调用IAM
用户认证成功后,IdP构建携带用户身份信息的断言发送SAML Response,请求经过中间媒介Client。 Client对SAML Response进行重新封装后转发SAML Response,调用公有云提供的“通过IdP initiated方式获取联邦token”接口。 公有云对断言进行校验和认证,并
敏感操作 只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 联邦用户在执行敏感操作时,不需要进行身份验证。 虚拟MFA 虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
