检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于ABAC。然后在IAM身份中心的权限集中添加一个自定义身份策略,该策略仅在用户的用户名与您分配给组织资源的标签值匹配时才授予用户访问权限。关于ABAC相关自定义策略的详细信息请参见:为ABAC创建权限策略。 对于不同的身份源实施ABAC的差异如下:
基于属性的访问控制(ABAC) ABAC概述和配置流程 启用和配置访问控制属性 为ABAC创建权限策略 支持配置的用户属性 父主题: 多账号权限管理
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素
删除IAM身份中心 设置其他成员账号为委托管理员 管理向管理账号分配的任务 启用或禁用用户的访问权限 管理在管理账号中预置的权限集 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。
用户登录并访问资源 将组织下的一个或多个成员账号与用户和权限集关联后,用户即可使用用户名和密码通过用户门户URL登录控制台并访问资源,资源具体的访问权限由权限集控制。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
用户登录并访问资源 用户创建完成后,用户即可使用用户名和密码通过用户门户URL登录控制台,如需访问资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通
权限管理 如果您需要对华为云上创建的IAM身份中心资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。IAM服务提供用户身份认证、权限分配、
Array of objects 权限集列表。 page_info Object 包含分页信息的对象。 表5 permission_sets 参数 参数类型 描述 created_date Long 权限集的创建时间。 description String 权限集的描述。 最小长度:1 最大长度:700
的“移除访问权限”。 在弹出的确认框中单击“确定”,用户/用户组以及关联的权限集均移除完毕。 图2 移除访问权限 如果仅需移除关联的权限集,您可以在“权限集”页签中勾选一个或多个权限集,单击“移除”,或单击单个权限集操作列的“移除”, 在弹出的确认框中单击“确定”,权限集移除完成。
这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。 如果使用外部身份提供商身份源,您在IAM身份中心和外部身份提供商处均可以设置实施ABAC的用户属性,
账号关联用户/组和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联用户/组和权限集,这样使用用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 当前仅支持为组织下的一个或多个成员账号关联用户/组和权限集,不支持直接选择整个组织或组织单元。
和User_B才能访问该资源。如果User_A后续不再需要访问此权限集下的某些资源,您只需修改这些资源的标签即可使User_A失去访问权限,而无需更新任何权限集配置。 基于属性的访问控制还有助于减少您需要在IAM身份中心中创建和管理的权限集数量,因为与相同权限集关联的用户现在可以
行登录。 图4 确认创建 创建权限集 权限集定义了一个或多个IAM策略的集合,IAM身份中心用户可访问资源的具体权限由权限集控制。创建权限集为必须操作,使用IAM身份中心用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。 登录华为云控制台。 单击页面左上角的,选择“管理与监管
权限集”,进入“权限集”页面。 在列表中可查看当前已创建的权限集及其相关信息。 在权限集列表中,单击权限集名称,进入权限集详情页,可查看权限集的基本信息、权限配置和关联账号详情。 图1 权限集详情页 修改权限集 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
账号关联用户和权限集 当您创建用户/组和权限集完成后,您需要将组织下的一个或多个成员账号关联IAM身份中心用户/组和权限集,这样使用IAM身份中心用户登录后才能访问关联账号下的资源,这些资源通过关联的权限集授予具体访问权限。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管
多账号权限管理 设置委托管理员 权限集管理 账号权限管理 基于属性的访问控制(ABAC)
Object 包含权限集详细信息的对象。 表6 permission_set 参数 参数类型 描述 created_date Long 权限集的创建时间。 description String 权限集的描述。 最小长度:1 最大长度:700 name String 权限集的名称。 最小长度:1
请求示例 根据权限集ID,更新指定权限集的属性。 PUT https://{hostname}/v1/instances/{instance_id}/permission-sets/{permission_set_id} { "description" : "更新示例权限集",
Object 包含权限集详细信息的对象。 表4 permission_set 参数 参数类型 描述 created_date Long 权限集的创建时间。 description String 权限集的描述。 最小长度:1 最大长度:700 name String 权限集的名称。 最小长度:1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
