检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Content-Type 是 String 该字段内容填为“application/json;charset=utf8”。 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8'
如何开启登录验证功能 为了确保您信息的安全,建议您开启登录验证功能。 开启该功能后,账号或IAM用户登录控制台时,需要在“登录验证”页面输入虚拟MFA/短信/邮箱验证码进行验证。 关闭该功能后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 操作步骤 管
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。
此,联邦用户通过身份提供商功能访问华为云时有以下约束: 如果账号开启了敏感操作保护(登录保护或操作保护),对联邦用户不生效,即联邦用户在执行敏感操作时,不需要二次验证。 不支持创建永久访问密钥(AK/SK),支持通过用户或委托token来获取临时访问凭证(临时AK/SK和secu
Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。 IAM除了支持界面控制台操作外,还提供API供您调用,您可以使
获取联邦认证unscoped token(IdP initiated) 功能介绍 该接口可以用于通过IdP initiated的联邦认证方式获取unscoped token。 Unscoped token不能用来鉴权,若联邦用户需要使用token进行鉴权,请参考获取联邦认证scoped
己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时,避免分享账号的密码。 除了IAM外,还有企业管理服务同样可以进行资源权限管理,相对于IAM,企业管理对资源的控制粒度更为精细,同时还支持企业项目费用的管理,建议结合企业需求选择IAM或是企业管理进行资源权
敏感操作 管理员可以修改,普通IAM用户不可查看。 登录验证策略 管理员可以修改,普通IAM用户仅可查看。 密码策略 管理员可以修改,普通IAM用户仅可查看。 访问控制 管理员可以修改,普通IAM用户不可查看。 如何进入安全设置 所有用户均可通过控制台入口进入“安全设置”。 登录华为云,在右上角单击“控制台”。
如果在Token有效期内进行如下操作,当前Token将立即失效: 删除/停用IAM用户。 修改IAM用户密码、访问密钥。 IAM用户权限发生变化(如账号欠费无法访问云服务、申请公测通过、IAM用户权限被修改等)。 非华为云账号获取Token 如果您的华为云账号已升级为华为账号,
系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。 仅在创建单个用户时适用。 首次登录时设置 - 系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。 如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件
Content-Type 是 String 该字段内容填为“application/json;charset=utf8” 请求样例 curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8'
在修改身份提供商页面,选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问华为云。 如果您需要使用SSO方式访问华为云,应该选择此方式。
启多因素认证,则管理控制台和REST API均会受到影响。 登录保护:您以及账号中的IAM用户登录时,除了在登录页面输入用户名和密码外,还需要在登录验证页面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,
进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例 身份凭证 身份凭证是识别用户身份的依据,您通过控制台或者API访问华为云时,需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥,您可
获取,请咨询企业管理员。 access_mode String IAM用户访问方式。 default:默认访问模式,编程访问和管理控制台访问。 programmatic:编程访问。 console:管理控制台访问。 description String IAM用户描述信息。 name
授权单位是用户组,因此需要建立联邦用户与IAM用户组的映射关系,从而使得联邦用户获得对应用户组的权限,使用华为云上的资源。请确保已创建需要映射的IAM用户组,创建IAM用户组并授权请参见:创建用户组并授权。 修改身份转换规则后,对已登录的联邦用户不会即时生效,需重新登录后新规则才可生效。
单击“确定”,自定义策略创建完成。 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。 给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。 JSON视图配置自定义策略 登录IAM控制台。 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。
Boolean IAM用户是否为账号。 access_mode String IAM用户访问方式。 default:默认访问模式,编程访问和管理控制台访问。 programmatic:编程访问。 console:管理控制台访问。 description String IAM用户描述信息。 表5
您可对联邦用户的以下特征进行配置: 用户名:企业IdP用户在华为云中显示不同的用户名。 用户权限:赋予企业管理系统用户使用华为云资源的权限。由于华为云权限的最小授权单位是用户组,因此需要建立联邦用户与IAM用户组的映射关系,从而使得联邦用户获得对应用户组的权限,使用华为云上的资
描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2