检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOn
OperateAccess权限配置成功。 IAM用户Alice在“服务列表”中选择除ECS和OBS服务外的任一服务,系统提示权限不足,表示ECS和OBS服务的权限配置成功。 IAM用户Alice切换区域至除“华北-北京四”的任一区域,无法进入除对象存储服务OBS以外服务的主页面,包括
成长地图 | 华为云 统一身份认证服务 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。 IAM无需付费即可使用。 产品介绍 图说IAM 立即使用 成长地图 由浅入深,带您玩转IAM
全局条件键。 其他全局条件键:在鉴权过程中,IAM通过云服务获取条件信息并鉴权。仅部分已对接的云服务支持其他全局条件键。 服务级条件键(前缀为服务缩写,如obs:)仅适用于对应服务的操作,详情请参见对应云服务的用户指南,如OBS请求条件。 表2 通用全局条件键 全局条件键 类型 说明
401 认证失败。 403 没有操作权限。 404 未找到相应的资源。 405 不允许的方法。 413 资源冲突。 500 内部服务错误。 503 服务不可用。 错误码 无 父主题: IAM用户管理
括mobile、email。 表5 protect_policy.allow_user 名称 是否必选 参数类型 描述 manage_accesskey 否 boolean 是否允许子用户自行管理AK,取值范围true或false。 manage_email 否 boolean
务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
管理员创建ECS云服务委托。 管理员登录统一身份认证服务控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击“创建委托”。 在创建委托页面,设置“委托名称” “委托类型”选择“云服务”,在“云服务”中选择“弹性云服务器 ECS 裸金属服务器 BMS”。 图4 创建委托
object OpenID Connect配置详情。 表4 openid_connect_config 参数 是否必选 参数类型 描述 access_mode 否 String 访问方式。 program_console: 支持编程访问和管理控制台访问方式。 program: 支持编程访问方式
果存在,则需要与同一租户中的xaccount_type、xdomain_type校验,须与xuser_id同时存在。xuser_type取值当前仅支持TenantIdp。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdo
多个规则组合示例 多个规则组合,用户名与用户组生成方式不同。 用户名取第一个生效规则的用户名,所有规则中必须至少有一个用户名规则生效,否则华为云不允许此用户登录;而用户组则取所有生效规则用户组名称的集合。一种比较实用的多规则配置方式是把用户名配置与用户组配置分离。这样的配置会非常容易阅读。
_id} 响应示例 { "message":"Delete success" } 返回值 返回值 描述 200 删除成功。 400 参数无效。 401 认证失败。 403 没有操作权限。 500 内部服务错误。 错误码 无 父主题: 自定义策略管理
授权项,指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。
审计员对IAM用户的权限进行安全审计时,需要拥有IAM ReadOnlyAccess(推荐)或Security Administrator权限。 总体思路 对IAM用户的权限进行安全审计,步骤如下: 查询用户组列表; 查询全局服务中的用户组权限; 查询项目服务中的用户组权限; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。
使用委托实现跨账号的资源授权与管理 A公司和B公司是华为云注册的企业用户,分别拥有自己单独的华为账号。本文主要介绍当A账号希望将部分资源委托给B账号时,使用IAM的委托功能来实现跨账号的资源授权与管理(A账号为委托方,B账号为被委托方)。 企业需求 A账号在华为云购买了多种资源,
m/Strong/None,分别表示密码强度低/中/高/无。 is_domain_owner Boolean IAM用户是否为账号。 access_mode String IAM用户访问方式。 default:默认访问模式,编程访问和管理控制台访问。 programmatic:编程访问。
位。xuser_type如果存在,则需要与同一租户中的xaccount_type、xdomain_type校验,须与xuser_id同时存在。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdomain_type、xdom
可能原因:浏览器缓存导致权限信息未更新。 解决方法:请清理浏览器缓存后重试。 可能原因:该服务可能提供独立权限控制,如软件开发生产线 CodeArts、对象存储服务OBS。 解决方法:请查看对应服务帮助文档,并授予用户对应权限。如CodeArts各角色的权限是怎样的、OBS权限控制概述。
P的帮助文档。常见IdP与华为云建立联邦身份认证的操作,请参见: 使用Active Directory Federation Services建立与华为云的联邦身份认证 使用Shibboleth IdP建立与华为云的联邦身份认证 使用Azure AD建立与华为云的联邦身份认证 使
"message": "Import metadata successful" } 返回值 返回值 描述 201 导入成功。 400 参数无效。 401 认证失败。 403 没有操作权限。 500 内部服务错误。 错误码 无 父主题: Metadata
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
