检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
区域管理 项目管理 账号管理 IAM用户管理 用户组管理 权限管理 自定义策略管理 委托管理 企业项目管理 安全设置 联邦身份认证管理 自定义身份代理 版本信息管理 服务和终端节点
项目管理 查询指定条件下的项目列表 查询指定IAM用户的项目列表 查询IAM用户可以访问的项目列表 创建项目 修改项目信息 查询项目详情 设置项目状态 查询项目详情与状态 查询项目配额 父主题: API
身份认证与访问控制 身份认证 访问控制 父主题: 安全
给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。 设置成功后,IAM用户A登录到华为云进入“费用中心>待支付订单”,订单的操作列将不出现“支付”按钮。 图5 设置成功 图6 设置失败 父主题: 用户组及权限管理类
(可选)步骤5:配置企业管理系统登录入口 将身份提供商的登录链接配置到企业管理系统上,企业用户通过该链接访问华为云。 华为云提供企业联邦用户登录入口,如您未配置企业管理系统登录入口,企业联邦用户可以通过该方法登录华为云,详情请参考:企业联邦用户登录。 前提条件 已在本系统创建身份
组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分
为委托授予全局服务权限 功能介绍 该接口可以用于管理员为委托授予全局服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 URL中role_id对应的权限由黑名单控制,不能是te_agency。
数据保护技术 IAM侧 租户侧 父主题: 安全
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。
此处只能选择一个云服务,如需配置多个云服务的自定义策略,请在完成此条配置后,单击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。
A账号登录华为云,在统一身份认证服务中,单击“委托”。 在“委托”页面,单击“创建委托”,设置“委托名称”,例如“VPC资源代运维”。 “委托类型”选择“普通账号”,在“委托的账号”中填入B公司的华为账号名称,例如“B-Company”。 设置“持续时间”为永久。 图2 创建委托
删除委托 查询全局服务中的委托权限 查询项目服务中的委托权限 为委托授予全局服务权限 为委托授予项目服务权限 查询委托是否拥有全局服务权限 查询委托是否拥有项目服务权限 移除委托的全局服务权限 移除委托的项目服务权限 查询委托下的所有项目服务权限列表 为委托授予所有项目服务权限 检查委托下是否具有所有项目服务权限
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOn
企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在发起访问请求时,系统根据用户被授权的访问策
Id值的Idp用户均可跳转至对应ID值的SP用户。因此,使用IAM用户SSO登录,请务必在Idp侧断言中设置IAM_SAML_Attributes_xUserId,在SP侧设置IAM用户外部身份ID。 2、IAM侧用户身份:虚拟用户SSO无法在IAM用户列表中找到Idp用户对应的
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
如果将IAM用户加入默认用户组“admin”,则IAM用户为管理员,可以对所有云服务执行任意操作。 当某个用户加入多个用户组时,此用户同时拥多个用户组的权限,即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略,请参见:系统权限。 如果您开通了企业管理,将不能创建IAM项目,请谨慎操作。
用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
