检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
删除企业项目关联用户组的权限 功能介绍 该接口用于删除企业项目关联用户组的权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3.0/
功能介绍 该接口用于查询Keystone API的3.0版本的信息。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3 请求参数 无
(MFA) 是能产生6位数字认证码的设备或应用程序,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。 如何绑定虚拟MFA
您还可以通过这个视频教程了解如何使用Token认证:https://bbs.huaweicloud.com/videos/101333 。 AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内,12M以上的请求请使用Token认证。 AK/SK签名认证方式可以避免因
获取联邦用户的临时访问密钥和securitytoken 功能介绍 该接口可以用于通过token来获取临时AK/SK和securitytoken。临时AK/SK和securitytoken是系统颁发给IAM用户的临时访问令牌,有效期可在15分钟至24小时范围内设置,过期后需要重新获
该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT /v3.0/OS-
atement(策略权限语句)两部分,其中Statement可以有多个,表示不同的授权项。 图1 策略结构 策略参数 策略参数包含Version和Statement两部分,下面介绍策略参数详细说明。了解策略参数后,您可以根据场景自定义策略,如自定义策略使用样例。 表1 策略参数说明
份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。 IAM除了支持界面控制台操作外,还提供API供您调用,您可以使用本文档提供的API对IAM进行相关操作,如创建
什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM用户、用户组等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源
但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云审计服务,可以对其他所有服务执行所有操作。 以下策略样例表示:拒绝IAM用户使用云审计服务。
才能重新登录。 图2 账号锁定策略 管理员可以设置账号锁定时长、锁定前允许的最大登录失败次数、重置账号锁定计数器的时间。 账号锁定时长:默认为15分钟,可以在15分钟~24小时之间进行设置。 锁定前允许的最大登录失败次数:默认为5次,可以在3~10次之间进行设置。 重置账号锁定计
访问控制 进入安全设置后,选择“访问控制”页签,可以对允许访问的IP地址区间、允许访问的IP地址或网段、允许访问的VPC Endpoint进行修改。 管理员可以设置访问控制策略,限制账号下的所有IAM用户只能从特定IP地址区间、网段及VPC Endpoint访问华为云。普通IAM
该接口可以用于管理员校验本账号中IAM用户token的有效性,或IAM用户校验自己token的有效性。管理员仅能校验本账号中IAM用户token的有效性,不能校验其他账号中IAM用户token的有效性。如果被校验的token有效,则返回该token的详细信息。 该接口可以使用全局
授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。
获取委托Token 功能介绍 该接口可以用于获取委托方的token。 例如:A账号希望B账号管理自己的某些资源,所以A账号创建了委托给B账号,则A账号为委托方,B账号为被委托方。那么B账号可以通过该接口获取委托token。B账号仅能使用该token管理A账号的委托资源,不能管理自
名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
如果需要修改委托的权限、持续时间、描述等,可以在委托列表中,单击委托右侧的“修改”,修改委托。 图1 修改委托 云服务委托支持修改云服务、持续时间、描述、权限,委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用,请谨慎操作。 删除委托 如果不再需要使用委托,可以在委托列表中,单击委托右侧的“删除”,删除委托。
密码策略 进入安全设置后,选择“密码策略”页签,可以对密码设置策略、密码有效期策略、密码最短使用时间策略进行修改。 只有管理员可以设置密码策略,普通IAM用户只有查看权限,不能对其进行设置,如需使用,请联系IAM管理员为您操作或添加权限。 建议IAM管理员设置密码策略,例如密码最
基本流程 通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。
名称,如果自动匹配的是没有授权的委托,系统将提示您没有权限访问,您可以删除委托名称,在下拉框中选择已授权的委托名称。 单击“确定”,切换至委托方账号中。 后续步骤 鼠标移动至右上角的用户名,选择“切换角色”,可以返回到您自己的账号中。 父主题: 委托其他账号管理资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
