检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云,请参见:联邦身份认证管理。 注意事项 企业IdP服务器的时间需要和华为云的时间、时区一致,即都使用GMT时间(Greenwich Mean Time),否则会导致联邦身份认证失败。 由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业IdP中,是企业IdP映射到华为云
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
SDK概述 本文介绍了IAM服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看
面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:敏感操作。
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 本章描述的IAM项目与企业项目不
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 您可以参考以下Demo示例创建云服务登录地址:使用token方式创建云服务登录地址 云服务代理登录地址中包含从IAM获得的登录票据loginTo
据的安全性。 最终一致性 最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。
将部分资源委托给B账号时,使用IAM的委托功能来实现跨账号的资源授权与管理(A账号为委托方,B账号为被委托方)。 企业需求 A账号在华为云购买了多种资源,为了专注自己的业务领域,希望将“华东-上海二”区域的VPC资源委托给B账号进行代运维。 B账号希望将A账号委托的资源分配给公司
idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 为了浏览器正常识别参数内容,需要将以上三个参数都进行UrlEncode编码。 您可以参考以下Demo示例创建云服务登录地址FederationProxyUrl:使用委托方式创建云服务登录地址
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果
roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表7 roles.policy 参数 参数类型 描述
”页面,输入账号名,IAM用户名/邮件地址和密码。 图1 IAM用户登录 租户名/原华为云账号:IAM用户所属的账号,即华为云账号。如果不知道账号名,请向管理员获取。 IAM用户名/邮件地址:在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道用户名及初始密码,请向管理员获取。
com/authui/saml/metadata.xml。下载华为云元数据文件,并设置文件名称,例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。 在华为云上创建身份提供商 在I
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
表5 links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表6 roles.policy 参数 参数类型 描述
项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。
roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址,不存在时为null。 next String 后一邻接资源链接地址,不存在时为null。 表7 roles.policy 参数 参数类型 描述
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
