检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
证书轮换 从外部身份提供商处获取新证书。 前往外部身份提供商网站下载SAML 2.0证书,确保是以PEM编码格式下载证书文件。大多数身份提供商都允许创建多个SAML 2.0证书,它们很可能会被标记为已禁用或未激活状态。 将新证书导入IAM身份中心。 登录华为云控制台。 单击页面左上角的,选择“管理与监管
应用场景 集中的身份管理,一次配置,即可安全访问多个账号的资源 大型企业在云上一般有多个账号,当前企业员工如需访问多个账号下的资源,需分别登录多个账号,或在多个账号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以: 集中创建和管理用户: 允许管理员集中创
用户组添加/移除用户 将用户添加或移除至特定用户组后,用户将具备或失去对应用户组的权限,快速实现用户的权限变更。 当某个用户加入多个用户组时,此用户同时拥有多个用户组的权限,即多个用户组权限的全集。 用户组添加用户 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
用户加入特定用户组后,将具备对应用户组的权限。当某个用户加入多个用户组时,此用户同时拥有多个用户组的权限,即多个用户组权限的全集。 权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配,可以实
CSV格式的表格文件导出,该CSV文件包含了本次查询结果的所有事件,且最多导出5000条信息。 选择完查询条件后,单击“查询”。 在事件列表页面,您还可以导出操作记录文件和刷新列表。 单击“导出”按钮,云审计服务会将查询结果以CSV格式的表格文件导出,该CSV文件包含了本次查询结
创建用户 开通IAM身份中心服务后,您需要创建用户。将用户与组织下的多个账号关联并配置权限,然后使用用户登录即可访问多个账号下的资源,无需重复登录。 如您首次使用IAM身份中心,界面将显示服务开通页,单击“立即开通”,即可开通IAM身份中心服务并使用相关功能。 操作步骤 登录华为云控制台。
权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
账号关联用户/组和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联用户/组和权限集,这样使用用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 当前仅支持为组织下的一个或多个成员账号关联用户/组和权限集,不支持直接选择整个组织或组织单元。
服务提供商(SP)信息: 单击“下载元数据文件”,下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要上传IAM身份中心SAML元数据文件。 身份提供商(IdP)信息: 在“IdP SAML元数据”后单击“添加文件”,上传您从外部身份提供商下载的SAML元数据文件。此元数据文件包含用于信任从IdP发送消息的证书。
为指定资源添加标签 功能介绍 给指定的资源添加一个或多个标签。当前支持为权限集添加标签。 URI POST /v1/instances/{resource_type}/{resource_id}/tags/create 表1 路径参数 参数 是否必选 参数类型 描述 resource_type
功能总览 集中身份管理 通过IAM身份中心可以创建和管理用户、用户组以及配置登录时的身份验证方式等。使用创建的用户登录后,可集中管理和访问华为云下多个账号的资源。IAM身份中心为每个组织提供统一的用户管理及登录门户。 访问权限管理 IAM身份中心可以统一配置用户对整个组织内的任意成员账号
用户登录并访问资源 将组织下的一个或多个成员账号与用户和权限集关联后,用户即可使用用户名和密码通过用户门户URL登录控制台并访问资源,资源具体的访问权限由权限集控制。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
账号关联用户和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联IAM身份中心用户/组和权限集,这样使用IAM身份中心用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管
用户登录并访问资源 用户创建完成后,用户即可使用用户名和密码通过用户门户URL登录控制台,如需访问资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通
如果您需要通过此策略授予某一用户多个资源的权限,那么您只需要为多个资源绑定相同的标签即可。 如果您需要通过此策略控制多个用户对某一资源的访问权限,那么您可以为此资源绑定多个标签,并在权限集的自定义身份策略中写入多个条件键,分别对应多个用户的属性即可。 如果您需要通过此策略控制多个用户多个资源的访问权
下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。且通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 在调用IAM身份中心的A
下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。且通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 如何访问IAM身份中心
详情请参见区域和可用区。 可用区(AZ,Availability Zone) AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认
] } ] } 示例3:多个授权项策略 一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version":
在“用户/组”页签中勾选一个或多个的用户/用户组,单击“移除访问权限”,或单击单个用户/用户组操作列的“移除访问权限”。 在弹出的确认框中单击“确定”,用户/用户组以及关联的权限集均移除完毕。 图2 移除访问权限 如果仅需移除关联的权限集,您可以在“权限集”页签中勾选一个或多个权限集,单击“移