检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
I参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 Effect 是 String
IAM用户的密码,非账号密码。此处需要输入上一步中下载的Alice用户的密码。 单击“登录”,IAM用户Alice登录华为云。 IAM用户Alice验证权限。 IAM用户Alice登录成功后,请先切换至“华北-北京四”。 IAM用户Alice在“服务列表”中选择弹性云服务器ECS,可以进入ECS的主页面并
则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
//企业管理系统登录地址 String enterpriseSystemLoginURL = "https://example.com/"; //需要访问的华为云服务地址 String targetConsoleURL = "https://console.huaweicloud.com/iam/
呈现浏览器提交的表单数据和客户端实现的对比,帮助用户开发本企业IdP系统的客户端脚本。 前提条件 企业IdP服务器支持IdP Initiated方式的联邦认证。 客户端需要安装python模块beautifulsoup4。 流程图 IdP initiated联邦认证的流程如下图所示。
间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在
如何获取虚拟MFA验证码 绑定虚拟MFA并开启登录保护或操作保护后,用户在进行登录或进行敏感操作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。 图5 虚拟MFA登录验证 此时,您需要打开智能设备上的虚拟MFA应用程序,查看并输入用户已绑定账号的验证码,下图以华为云App为例。
FullAccess和自定义策略同时授予用户,根据Deny优先原则,则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示:拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ {
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM时,不需要切换区域。 权限根据授权精细程度分为角色和策略。
源,用户如果购买资源需要拥有对应资源的管理员权限。 查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消
身份认证与访问控制 身份认证 访问控制 父主题: 安全
单击“确定”。 返回用户组列表,用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”,进入授权界面。 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步。 在选择策略页面,单击权限列表右上角“新建策略”。 输入
表2 登录保护和登录验证策略 登录保护手段 简要说明 详细介绍 登录保护 除了在登录页面输入用户名和密码外(第一次身份验证),用户登录华为云还需要在登录验证页面输入验证码(第二次身份验证)。 验证设备支持手机、邮箱和虚拟MFA设备,详见多因素认证。 登录保护 登录验证策略 IAM支持
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
删除委托 如果不再需要使用委托,可以在委托列表中,单击委托右侧的“删除”,删除委托。 图2 删除单个委托 批量删除委托 如果需要删除多个委托,可在委托列表中勾选需要删除的委托,然后单击列表上方的“删除”。 图3 批量删除委托 删除委托后,将撤销被委托方账号的权限,被委托方将无法
数据保护技术 IAM侧 租户侧 父主题: 安全
Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack Client的操作只需要普通用户权限。 接口调用操作应该在一个安全的网络环境中进行(在VPN或者在租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
