检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA: 扫描二维码 打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-扫码添加”,扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后,“华为云”手机应用程序会自动添加用户,虚拟MFA列表
kafka Kafka实例 rocketmq RocketMQ实例 数据仓库服务(DWS) cluster 集群 弹性云服务器(ECS) instance 弹性云服务器 云硬盘(EVS) volume 云硬盘 函数工作流服务(FunctionGraph) function 函数 trigger
常用委托配置案例 分配委托权限(被委托方操作) 配置弹性云服务器ECS委托
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
身份认证与访问控制 身份认证 访问控制 父主题: 安全
身份认证 华为云IAM服务要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。 身份凭证及其安全性 IAM服务支持通过账号和IAM用户两种身份访问,并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。详见表1,每一种身份凭证
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
LI、SDK等开发工具来访问华为云。 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问华为云。 如果您需要使用SSO方式访问华为云,应该选择此方式。 编程访问 用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 在修改身份提供商页面,填写“配置信息”。
[ "ecs:*:get*", "ecs:*:list*", "ecs:blockDevice:use", "ecs:serverGroups:manage"
数据保护技术 IAM侧 租户侧 父主题: 安全
xaccount_type 是 String 该字段为标识租户来源字段,默认为空。 metadata 是 String 该字段为用户IdP服务器的Metadata文件的内容。 响应参数 表4 响应Body参数 参数 参数类型 描述 message String 导入结果信息。 请求示例
您可以通过在区域中创建子项目的功能,使得同区域下的各项目之间的资源相互隔离。 联合身份认证 如果您已经有自己的身份认证系统,您不需要在华为云重新创建用户,可以通过身份提供商功能直接访问华为云,实现单点登录。 委托其他账号或者云服务管理资源 通过委托信任功能,您可以将自己的操作权限委托给更专业、高效的其他
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
例代码。 Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java SDK)开发。 import java.net.URLEncoder; import java.util
委托管理 查询指定条件下的委托列表 查询委托详情 创建委托 修改委托 删除委托 查询全局服务中的委托权限 查询项目服务中的委托权限 为委托授予全局服务权限 为委托授予项目服务权限 查询委托是否拥有全局服务权限 查询委托是否拥有项目服务权限 移除委托的全局服务权限 移除委托的项目服务权限
Client对SAML Response进行重新封装后转发SAML Response给公有云。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
和华为云平台的信任关系。 配置身份转换规则:通过在华为云平台配置身份转换规则,将IdP中的用户、用户组及其访问权限映射到华为云平台。 配置企业管理系统登录入口:将华为云平台的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云平台。 企业管理系统与华为云联邦身份认证交互流程