户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与
Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用户的身份、权限等信息,用户调用API接口时,需要使用Token进行鉴权。 本章节指导用户如何通过API
云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP:配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。 配置外部身份ID:配置外部身份ID,建立IAM用户与企业IdP用户的对应关系,当企业IdP用户使用IAM
交换Metadata文件模型 配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。 在华为云配置身份转换规则:通过配置身份转换规则,明确企业IdP用户登录华为云后的身份和权限,例如登录华为云后的用户名、加入的用户组和拥有的访问权限。 图3 用户转换模型 登录验证:发起单
演练记录 job 任务 slaTemplate sla模板 attackTargetRecord 攻击任务的攻击目标记录 parameter 配置项 凭据管理服务(CSMS) secretName 凭据名称 智能数据洞察(DataArtsInsight) workspace 工作空间
供灾难恢复计划。 华为云IAM作为基础身份认证服务,已面向全球用户服务,并在多个分区部署,具有更高的可用性、容错性和可扩展性。分区部署详情参见IAM可用分区。 父主题: 安全
户组,再将用户组添加至需求1创建的企业项目,并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess
目中的资源,使得资源的权限控制更加精确。 本章描述的IAM项目与企业项目不同,具体内容请参见:IAM项目和企业项目的区别。 图1 项目隔离模型 IAM项目中的资源不能转移。 如果您已开通企业项目,将不支持创建IAM项目。 创建项目 在IAM控制台的左侧导航窗格中,选择“项目”页签,单击“创建项目”。
户,实现精细的权限管理。例如:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。 图1 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。
建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。 企业项目 企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以
当合作关系发生变更时,A账号随时可以修改或者删除这个委托,B账号以及账号下可以管理该委托的用户对该委托的使用权限将自动修改或者撤销。 图1 跨账号授权模型 委托方跨账号授权 以A账号将“华东-上海二”区域的VPC资源,委托给B账号进行代运维为例,说明委托方进行跨账号授权的操作方法。 A账号登
并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前IAM支持可视化视图、JSON视图两种自定义策略配置方式。 父主题: 权限管理
情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内。 区域和终端节点 当您通过API使用
Deny Condition 否 Map<String,Map<String,Array<String>>> 限制条件。了解更多相关参数,请参考:配置自定义策略。 说明: 以请求示例中的Condition为例:条件键(obs:prefix)和字符串(public)需相等(StringEquals)。
配合BSS Administrator使用。 多运维人员权限配置示例 IAM通过用户组功能实现用户的授权,以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,帮助您了解多权限配置流程。如果需要将员工配置为其他运维负责人,请参考表1,为相关负责人授予相应的系统权限。
M用户的概念,详情请参见:IAM基本概念。 本章节以A公司使用IAM创建用户组并授权为例,帮助您快速了解,企业如何使用IAM完成服务权限的配置。 操作流程 操作步骤 说明 准备工作 注册华为账号并完成实名认证。 步骤一:创建用户组 完成创建一个用户组,授权的最小单位是用户组。 步骤二:给用户组授权
不同权限间的区别。 所属区域:使用IAM授权时,该服务选择的授权区域。 全局区域:服务部署时不区分物理区域,为全局级服务。在全局项目中进行授权,访问该服务时,不需要切换区域。 其他区域:服务部署时通过物理区域划分,为项目级服务。在除全局区域外的其他区域中授权,仅在授权的区域生效,访问该服务时,需要先切换到对应区域。
问密钥)配置到企业IdP的配置文件中,以便获取用户认证token。为了保障您的账号安全,密码和访问密钥建议加密存储。 企业管理员登录企业管理系统后,访问自定义代理,从用户列表中选择需要登录华为云的企业用户,具体操作请参见企业管理系统帮助文档。此处以企业管理员选择2中配置的用户UserB为例。
管理员或拥有ECS权限的IAM用户为ECS实例配置委托。 若ECS实例未创建,则参考自定义购买弹性云服务器,购买并配置ECS云服务器,在高级配置过程中,单击下拉列表选择步骤1创建的委托,获取相应权限。 图5 选择委托 若ECS实例已创建,可按照如下流程配置ECS实例委托: 进入ECS产品页,单击ECS实例名,进入配置页面。
使用委托方式配置自定义身份代理配置步骤 如果您的企业IdP不支持SAML、OIDC协议,可以使用自定义身份代理,通过编写代码获得华为云登录链接,使企业用户通过企业IdP验证身份后,即可登录华为云。 自定义身份代理适用于不支持SAML、OIDC的企业IdP,如果您使用了支持SAML
您即将访问非华为云网站,请注意账号财产安全