检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成长地图 | 华为云 IAM身份中心 IAM身份中心提供多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。 产品介绍 图说ECS 仅两个按钮时选用 立即使用 成长地图 由浅入深,带您玩转IAM身份中心
account_id String 分配给用户的账号的全局唯一标识符(ID)。 account_name String 分配给用户的账号的名称。 email_address String 分配给用户的账号的电子邮箱地址。 最小长度:1 最大长度:254 表5 page_info 参数
只需要external_id,unique_attribute中的一个条件。 请检查替代标识符是否只使用了一个条件。 404 IIC.1349 The attribute_path must be unique. 此路径不是唯一属性。 请检查路径是否为唯一属性。 400 IIC.1351 The maximum
应用场景 集中的身份管理,一次配置,即可安全访问多个账号的资源 大型企业在云上一般有多个账号,当前企业员工如需访问多个账号下的资源,需分别登录多个账号,或在多个账号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以: 集中创建和管理用户: 允许管理员集中创
选择重置密码的方式: 向用户发送一封包含密码重置说明的电子邮件:系统通过邮件发送密码重置说明给用户,用户根据邮件说明重置密码。 生成一次性密码并与用户共享该密码:系统会弹出一次性密码的详细信息页面,您可以将这些信息复制并发送给用户,用户使用用户名和一次性密码通过门户URL进行登录。
云服务:在下拉框中选择对应的云服务名称。 资源类型:在下拉框中选择对应的资源类型。 操作用户:在下拉框中选择一个或多个具体的操作用户。 事件级别:可选项为“normal”、“warning”、“incident”,只可选择其中一项。 normal:表示操作成功。 warning:表示操作失败。 incide
如果您需要对您所拥有的IAM身份中心服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用IAM身份中心资源。
注册华为账号并开通华为云且完成实名认证 开通组织云服务并创建组织 申请公测并开通IAM身份中心 注册华为账号并开通华为云且完成实名认证 如果您已有一个华为云账号,请跳到下一个任务。如果您还没有华为云账号,请参考以下步骤创建。 打开华为云官网,单击页面右上角的“注册”。 根据提示信息完成华为账号注册。
多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起
选择用户详情页下方的“MFA设备”页签,单击“注册MFA设备”。 图2 注册MFA设备 系统跳转至注册MFA页面,选择以下MFA设备类型之一,然后根据说明进行操作。 身份验证器应用程序 在“绑定虚拟MFA”页面上将显示新MFA设备的配置信息,包括二维码图形等。根据界面提示完成如下操作:
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
指示轮询会话时,客户端在两次尝试之间必须等待的秒数。 user_code String 一次性用户验证码。授权正在使用的设备时需要此操作。 verification_uri String 使用一次性用户验证码授权设备的验证页面的URI。 verification_uri_complete
的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。 IAM身份中心支持连接到基于SAML 2.0协议的外部身份提供商
或者生成的一次性密码页面中也可以获取用户门户URL。 图1 获取用户门户URL 使用浏览器打开用户门户URL,输入用户名并单击“下一步”。 用于登录的用户名和密码在创建用户时获取。如果忘记密码或需要修改密码,管理员可以使用重置密码功能,重新向用户发送密码设置邮件或生成一次性密码。
或者生成的一次性密码页面中也可以获取用户门户URL。 图1 获取用户门户URL 使用浏览器打开用户门户URL,输入用户名并单击“下一步”。 用于登录的用户名和密码在创建用户时获取。如果忘记密码或需要修改密码,管理员可以使用重置密码功能,重新向用户发送密码设置邮件或生成一次性密码。
supported Boolean 一个布尔值,表示服务提供商是否支持这种操作。 表6 bulk 参数 参数类型 描述 supported Boolean 一个布尔值,表示服务提供商是否支持这种操作。 maxOperations Integer 一次可操作的最大个数。 maxPayloadSize
可用区(AZ,Availability Zone) AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔
10万 是 一个用户组内的用户数量 无限制 - 一个用户可以加入的用户组数量 1000 否 一个用户可以绑定的多因素认证(MFA)设备数量 2 否 IAM身份中心允许创建的权限集数 2000 是 一个权限集可以包含的权限策略数 20个系统策略+1个自定义策略 否 一个账号可以绑定的权限集数
予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予IdentityCenter FullAccess的系统策略,但不希望用户拥有IdentityCenter FullAccess中定义的删除权限集权限,您可以创建一条拒绝删除权
图1 账号列表显示方式切换 在账号列表中勾选一个或多个账号,单击左上方的“关联用户或组”。 您也可以在账号列表中单击某一账号操作列的“关联用户或组”。 图2 选择账号 进入“分配用户/组”页面,在列表中勾选需要关联的用户/组,单击“下一步”。 图3 分配用户/组 进入“选择权限集
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
