检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
历史API 查询企业项目关联的用户组 查询企业项目已关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联的用户组权限
获取用户的临时访问密钥和securitytoken 获取联邦用户的临时访问密钥和securitytoken 创建永久访问密钥 查询所有永久访问密钥 查询指定永久访问密钥 修改指定永久访问密钥 删除指定永久访问密钥 父主题: API
ource-path为“/v3/auth/tokens”。 query-string 查询参数,可选,查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“limit=10”,表示查询不超过10条数据。 例如您需要获取“华北-北京一”区域的Token,则需使用“华北-北京一”区域的Endpoint(iam
生效。具体请参见:依赖角色的授权方法。 约束与限制 企业项目授权场景下不支持授予角色。 角色内容 给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DNS Administrator”为例,说明角色的内容。 图1 DNS Administrator角色内容 {
授权范围”页面,选择授权IAM用户使用的企业项目。 单击“确定”,完成IAM用户授权。 授权完成后,管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。 企业项目授权场景下,授予OBS相关的权限后,大概需要等待15~30分钟策略才能生效。 父主题: IAM用户
使配置生效。 界面提示“JSON文件格式不完整”:请修改JSON语句,或单击“取消”,取消本次修改内容。 相关操作 查看规则:在“身份转换规则”区域单击“查看规则”。新创建的身份转换规则在JSON文件中显示。JSON文件内容说明请参考:身份转换规则详细说明。 父主题: 基于SAML协议的虚拟用户SSO
策略-系统策略 云服务在IAM预置了常用授权项,称为系统策略。管理员给用户组授权时,可以直接使用这些系统策略,系统策略只能使用,不能修改。如需查看所有云服务的系统策略,请参见:系统权限。 如果管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的系统策略,原因是该服务暂时不支
用户开启登录保护,并建议您设置验证方式为安全等级更高的虚拟MFA。 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。 检查是否存在访问密钥异常操作。 检查访问密钥
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
IAM用户绑定虚拟MFA,输入IAM用户名和密钥。单击“添加”手动添加用户。 添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。 在“绑定虚拟MFA”页面输入连续的两组口令,然后单击“确定”,完成绑定虚拟MFA设备的操作。
分配委托权限操作完成,新创建的IAM用户可以通过切换角色至委托方账号中,帮助您管理委托资源。 后续操作 被委托方账号或分配了委托权限的IAM用户均可以切换角色至委托方账号中,查看并根据权限使用委托资源。 父主题: 委托其他账号管理资源
企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为:
DDoS高防服务(AAD)的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限,包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限,请参见:系统权限。 针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财
password 是 Object IAM用户密码认证信息。 说明: user.name和user.domain.name可以在界面控制台“我的凭证”中查看,具体获取方法请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 该接口提供了锁定机制用于防止暴力破解,调用时,请确保用
password 是 Object 用户密码认证信息。 说明: user.name和user.domain.name可以在界面控制台“我的凭证”中查看,具体获取方法请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 该接口提供了锁定机制用于防止暴力破解,调用时,请确保用
AM用户名,方法请参见:获取账号、IAM用户、项目名称和ID。 单击“Send”,发送API请求。 图4 发送API请求 在返回的响应头中查看获取的用户Token,用户调用IAM其他API接口时,可以使用该Token进行鉴权。 图5 获取Token 如果返回值为401,表示认证失败,请确认Request
ency_id}/roles/{role_id}/inherited_to_projects 响应示例 无 状态码 状态码 描述 204 查询成功。(具有指定权限) 401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 500 内部服务错误。 错误码 请参见错误码。
和ID。 请确保该项目与用户组中IAM用户待授权、使用的IAM项目一致。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请使用查询指定条件下的项目列表获取名为“MOS”的项目ID,为用户组授予该项目的OBS自定义策略。 role_id 是 String 权限ID,获取方式请参见:获取权限ID。
示例: "obs:bucket:ListAllMybuckets":表示查看OBS桶列表权限,其中obs为服务名,bucket为资源类型,ListAllMybuckets为操作。 您可以在对应服务“API参考”资料中查看该服务所有授权项,如OBS授权项。 Condition:条件 使策略生效的特定条件,包括条件键和运算符。
加入GroupC用户组中,具体方法请参见:用户组添加用户。 请确认该IAM用户支持编程访问华为云服务。如需修改IAM用户访问方式,请参考:查看或修改IAM用户信息。 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token和
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
