检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份凭证是识别用户身份的依据,您通过控制台或者API访问华为云时,需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥,您可以在IAM中管理账号以及账号下IAM用户的身份凭证。 密码:常见的身份凭证,密码可以用来登录控制台,还可以调用API接口。 访问密钥:即AK/SK(Access
邮箱或手机号码,只能由管理员重置密码。 选择“访问方式”。 图3 选择访问方式 表2 访问方式 访问方式 说明 编程访问 为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问云服务。 管理控制台访问 为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。
暂不配置 描述 选填。记录IAM用户相关信息。 暂不配置 图10 配置访问方式 表4 访问方式 访问方式 说明 取值样例 编程访问 为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问云服务。 勾选 管理控制台访问 为IAM用户启用密码,支持用户登录管理控
在创建用户时由用户在界面输入用户名 在调用API接口时输入用户名 标识用户身份 控制台界面或API调用时进行身份认证 管理员权限可通过API修改 是 用户名是用户的身份标识信息 密码 在创建用户、修改用户凭证、重置密码时由用户在界面输入密码 在调用API接口时输入密码 控制台界面或API调用时进行身份认证
针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。 如表1所示,包括了IAM的所有系统权限。 表1 IAM系统权限 系统角色/策略名称 描述 类别 角色/策略内容
SDK概述 本文介绍了IAM服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看
您可以通过基于浏览器的可视化界面,即控制台访问IAM。详情请参考如何进入IAM控制台。 REST API 您可以使用IAM提供的REST API接口以编程方式访问IAM。详情请参考:API参考。
如果您忘记了账号的密码,请参考忘记账号密码自行重置登录密码。 本节只介绍IAM用户、华为云账号、华为账号的找回密码方式。 如果找回密码的过程中,报错“此账号无效或不受支持”,说明该账号不是IAM用户、华为云账号或华为账号。请再次检查输入的账号是否正确。如果您暂未注册华为账号,建议您先注册华为账号并开通华为云,请参考注册华为账号并开通华为云。
应用场景 假如您是一位开发者,开发了一个应用程序,这个应用程序运行在ECS实例上,应用程序的代码中涉及调用API访问华为云服务。此时,因为华为云服务要求访问请求方出示访问凭证,所以您的API调用将会面临提供访问凭证的问题。 访问凭证按照时效性可分为永久凭证和临时凭证,相较于永久性访问凭证
的详细说明和示例请参见:身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中,单击“身份提供商”。 在身份提供商列表中,选择您创建的身份提供商,单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名
"display_name": "VPC Administrator" } ] } 参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0:代表基于角色的访问控制。 Statement: 角色的授权语句 Action:授权项
的详细说明和示例请参见:身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中,单击“身份提供商”。 在身份提供商列表中,选择您创建的身份提供商,单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名
下表为当前华为云支持资源级别授权的云服务及对应资源类型。 表1 支持资源粒度授权的云服务及其资源类型 服务 资源类型 资源名称 API开放平台SaaS(Apiexplorer-saas) product 产品 portal 门户 云堡垒机(CBH) instanceId 实例ID 云容器引擎(CCE)
置;永久安全凭证的有效期为永久,并且不能进行设置。 临时安全凭证没有数量限制;每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。
多因素认证设备支持手机、邮箱和虚拟MFA设备。 多因素认证应用的场景 多因素认证主要应用于登录保护以及操作保护。若开启多因素认证,则管理控制台和REST API均会受到影响。 登录保护:您以及账号中的IAM用户登录时,除了在登录页面输入用户名和密码外,还需要在登录验证页面输入多因素认证设备中的验证
份凭证,IAM都对其进行安全性设计,目的是保护用户数据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通
deleteAgencyInheritedGrants 为委托授予全局服务权限 agency updateAgencyAssignsByRole 为委托授予全局服务权限(API) roleAgencyDomain assignRoleToAgencyOnDomain 更新委托权限 agency updateAgencyAssignsByRole
MFA设备可以基于硬件也可以基于软件,系统目前仅支持基于软件的虚拟MFA。 虚拟MFA设备是能产生6位数字认证码的应用程序,遵循基于时间的一次性密码 (TOTP)标准。此类应用程序可在移动硬件设备(包括智能手机)上运行,非常方便。 前提条件 用户需要先在智能设备上安装一个MFA应用程序(例如:华为云App、
重置账号锁定计数器的时间:默认为15分钟,可以在15~60分钟之间进行设置。 账号停用策略 如果IAM用户在设置的有效期内没有通过界面控制台或者API访问华为云,再次登录时将会被停用。 账号停用策略默认关闭,管理员可以选择开启,并在1~240天之间进行设置。 该策略仅对账号下的IAM用户
选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
