检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
M用户的概念,详情请参见:IAM基本概念。 本章节以A公司使用IAM创建用户组并授权为例,帮助您快速了解,企业如何使用IAM完成服务权限的配置。 操作流程 操作步骤 说明 准备工作 注册华为账号并完成实名认证。 步骤一:创建用户组 完成创建一个用户组,授权的最小单位是用户组。 步骤二:给用户组授权
在指定策略的操作列中单击“编辑”,或者单击需要修改的策略名称,进入策略详情页。 图1 修改自定义策略 可根据需要修改“策略名称”和“策略描述”。 按可视化视图配置自定义策略方式修改策略。 单击“确定”完成修改。 删除自定义策略 如果当前自定义策略已被授权给用户组或委托,则无法删除。移除该用户组或委托中的自定义策略后,才可删除自定义策略。
项目服务权限,使被委托方拥有该项目下的权限,权限在其他项目不生效。 如需修改委托权限范围为所有项目服务权限,您可以在IAM控制台为委托重新配置权限。如果您无法在控制台进行操作,请按照以下步骤为委托授予所有项目服务权限。 操作步骤 委托方登录华为云。 访问网址:API Explor
2.0协议的身份认证标准协议。在企业IdP中创建OAuth 2.0凭据,在华为云上创建基于OIDC的身份提供商,并配置授权信息、身份转换规则,将华为云的访问入口配置到企业Idp中,从而实现用户通过企业Idp单点登录华为云。 商用 基于OIDC协议的联邦身份认证 2020年9月 序号
少有一个用户名规则生效,否则华为云不允许此用户登录;而用户组则取所有生效规则用户组名称的集合。一种比较实用的多规则配置方式是把用户名配置与用户组配置分离。这样的配置会非常容易阅读。 以下示例表示针对IdP中属于“idp_admin”用户组的用户生效,在IAM中的用户名为UserName,所属用户组为“admin”。
如果删除并重新创建同名用户,则需要重新授权。 操作步骤 管理员登录IAM控制台。 在左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。 图1 创建用户 在“创建用户”页面配置“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。 图2 填写用户信息 表1 用户信息 参数
在本地进行分组或属性的更改,即可同步到云平台。 您的各个分支机构存在多个企业IdP,都需要访问同一个华为云账号,您需要在一个华为云账号中内配置多个IdP进行联邦认证。 IAM用户SSO 身份提供商中的用户登录华为云后,系统将自动匹配外部身份ID绑定的对应IAM子用户,从而拥有该子
图8 选择状态 选择要给IAM用户配置的目标状态,若要停用IAM用户则选择“停用”,启用IAM用户则选择“启用”。 图9 修改状态 请排查用户是否有其他服务或场景在使用,停用正在使用的用户可能会对业务产生影响。 单击“确定”,确定IAM用户配置。 单击“确认”,完成所选IAM用户状态的修改。
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
修改用户组名称和描述 管理员在用户组列表中,单击用户组右侧的“编辑”,修改用户组名称和描述。 图5 修改用户组名称和描述 如果该用户组名称已配置在身份提供商的身份转换规则中,修改用户组名称将导致对应身份转换规则失效,请谨慎操作。 修改用户组中的用户 管理员在用户组列表中,单击用户组右侧的“用户组管理”。
URL中domain_id所对应账号中IAM用户的token(无需特殊权限)。 响应参数 表3 响应Body参数 参数 参数类型 描述 config Object 配置信息。 表4 config 参数 参数类型 描述 security_compliance Object 密码强度策略信息。 表5 config
instance 实例 智能边缘平台(IEF) product 产品 node 边缘节点 group 边缘节点组 deployment 应用部署 batchjob 批量作业 application 应用模板 appVersion 应用模板版本 IEFInstance IEF实例 cluster
并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前IAM支持可视化视图、JSON视图两种自定义策略配置方式。 父主题: 权限管理
以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 在用户组列表中,单击用户组右侧的“授权”,进入授权页面。 图3 权限配置 在授权页面中,勾选需要授予用户组的区域级项目权限,并单击“下一步”。 选择作用范围。此处选择区域项目,则还需要选择待授权的项目。 单击“确定”,完成授权。
virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description String 身份提供商描述信息。
virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description String 身份提供商描述信息。
账号设置(密码、手机、邮箱) 登录保护和操作保护 登录验证策略 虚拟MFA 身份提供商 身份提供商概述 创建身份提供商 联邦身份认证的基本流程和配置步骤 02 入门 快速了解统一身份认证服务在典型场景下的操作方法。 快速入门 创建用户组并授权 创建IAM用户并登录 04 实践 提供典型
URL中domain_id所对应账号中IAM用户的token(无需特殊权限)。 响应参数 表3 响应Body参数 参数 参数类型 描述 config Object 配置信息。 表4 config 参数 参数类型 描述 password_regex String 密码强度策略的正则表达式。(当option为password_regex时返回)
授予IAM用户管理所有的委托权限,请跳过该步骤,直接执行f。 在选择策略页面,单击权限列表右上角“新建策略”。 输入“策略名称”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域,填入以下内容: { "Version": "1.1", "Statement":
使用全局域名获取自定义代理登录票据 String endpoint = "https://iam.myhuaweicloud.com"; // 配置客户端属性 HttpConfig config = HttpConfig.getDefaultHttpConfig() .withIg
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
