检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理身份源 更改身份源 自定义用户门户URL 外部身份提供商配置 常用的身份提供商
常用的身份提供商 微软AD Okta 父主题: 管理身份源
权限管理 创建IAM用户并授权使用IAM身份中心 创建IAM身份中心自定义策略
多因素认证(MFA) 多因素认证概述 多因素认证(MFA) 管理多因素认证(MFA)
多账号权限管理 设置委托管理员 权限集管理 账号权限管理 基于属性的访问控制(ABAC)
多因素认证(MFA) 启用MFA 选择MFA验证类型 配置MFA强制执行 允许用户自行注册MFA设备 父主题: 多因素认证(MFA)
基于属性的访问控制(ABAC) ABAC概述和配置流程 启用和配置访问控制属性 为ABAC创建权限策略 支持配置的用户属性 父主题: 多账号权限管理
0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。IAM支持使用SAML2.0协
通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问IAM身份中心。 管理控制台方式 管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,单击页面左上角的,选择“管理与监管 > IAM身份中心”。 API方式 如
(TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,非常方便。 安全密钥和内置身份验证器: FIDO2是基于公钥密码学的标准,它包含了CTAP2和WebAuthn标准。FIDO凭证
IAM身份中心用户名称。 自定义,不可与其他IAM身份中心用户名重复。 密码 选择密码的生成方式。 向用户发送一封包含密码设置说明的邮件:系统通过邮件发送密码设置说明给用户,用户根据邮件说明设置密码。 生成随机的一次性密码:管理员创建用户成功后,系统会在创建成功的界面,显示自动生成的一次性密码信息
产品介绍 什么是IAM身份中心 应用场景 约束与限制 权限管理 基本概念 04 API 通过IAM身份中心开放的丰富API和调用示例,您可以进行实例管理、权限集管理、账号分配管理、用户管理等操作。 API文档 创建用户 创建用户组 添加系统身份策略 添加自定义身份策略 绑定用户和组
控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action)。 如表1所示,包括了IAM身份中心的所有系统权限。 表1 IAM身份中心系统权限 系统角色/策略名称
IAM身份中心用户名称。 自定义,不可与其他IAM身份中心用户名重复。 密码 选择密码的生成方式。 向用户发送一封包含密码设置说明的邮件:系统通过邮件发送密码设置说明给用户,用户根据邮件说明设置密码。 生成随机的一次性密码:管理员创建用户成功后,系统会在创建成功的界面,显示自动生成的一次性密码信息
单击“确定”,完成绑定虚拟MFA设备的操作。 安全密钥 在 “注册安全密钥” 页面上,根据浏览器或平台显示的说明进行操作。 此处的体验因不同的操作系统和浏览器而异,因此请按照浏览器或平台显示的说明进行操作。 当您同时注册“身份验证器应用程序”和“安全密钥和内置身份验证器”两种类型的MFA设备
迹象时,应立即删除并轮换该证书。 证书轮换 从外部身份提供商处获取新证书。 前往外部身份提供商网站下载SAML 2.0证书,确保是以PEM编码格式下载证书文件。大多数身份提供商都允许创建多个SAML 2.0证书,它们很可能会被标记为已禁用或未激活状态。 将新证书导入IAM身份中心。
示。如果您的组织或合规性策略要求用户每次登录用户门户时完成MFA认证,则应使用此模式。 从不(禁用) 选择此项将禁用MFA。所有用户仅使用标准用户名和密码登录。 图1 启用MFA 单击“应用”。 父主题: 多因素认证(MFA)
“确定”,用户的密码重置完成。 图8 选择重置密码的方式 选择重置密码的方式: 向用户发送一封包含密码重置说明的电子邮件:系统通过邮件发送密码重置说明给用户,用户根据邮件说明重置密码。 生成一次性密码并与用户共享该密码:系统会弹出一次性密码的详细信息页面,您可以将这些信息复制并发
只有资源标签的值和属性值匹配成功的用户才会获得此权限集定义的资源访问权限。 策略示例 创建权限集的具体操作请参见:创建权限集。此处仅举例说明如何在权限集的自定义身份策略中添加基于属性的访问控制规则,以及策略示例。 例如您创建权限集时选择“OrganizationsFullAcc
个筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。 云服务:在下拉框中选择对应的云服务名称。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
