检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
查看IAM操作记录 开通云审计服务 在CTS事件列表查看云审计事件
策略名:权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录,选择过滤条件为“策略名”,输入指定权限名称,查看该权限的授权记录。如需查看所有云服务的系统权限,请参见:系统权限。 用户名/用户组名/委托名:IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组/委
查询所有永久访问密钥 功能介绍 该接口可以用于管理员查询IAM用户的所有永久访问密钥,或IAM用户查询自己的所有永久访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
策略、最近登录提示、登录验证提示进行修改,登录验证策略对账号和账号中的IAM用户生效。 只有管理员可以设置登录验证策略,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 会话超时策略 如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计服务中的“CTS支持的I
本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录: 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。
如果您需要授予IAM用户特定资源的相应权限,可以创建自定义策略并选择特定资源,该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时,选择资源类型并添加资源路径:OBS:*:*:bucket:TestBucket*,即可授予IAM用户以TestBucket命名开头的桶相应权限。 下表为当前华为云支持资源级别授权的云服务及对应资源类型。
根据企业IdP元数据文件手动编辑元数据 单击“确定”,保存设置信息。 相关操作 查看身份提供商信息:在身份提供商列表中,单击“查看”,可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”,可直接进入“修改身份提供商”界面。 修
获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。
查询全局服务中的用户组权限 功能介绍 该接口可以用于管理员查询全局服务中的用户组权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET
敏感操作 只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 联邦用户在执行敏感操作时,不需要进行身份验证。 虚拟MFA 虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码
对IAM用户的权限进行安全审计,步骤如下: 查询用户组列表; 查询全局服务中的用户组权限; 查询项目服务中的用户组权限; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。 涉及的接口如下: 查询用户组列表 查询全局服务中的用户组权限 查询项目服务中的用户组权限 管理员查询用户组所包含的IAM用户
查询IAM用户是否在用户组中 功能介绍 该接口可以用于管理员查询IAM用户是否在用户组中。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI HEAD
/v3/regions/{region_id} 表1 路径参数 参数 是否必选 参数类型 描述 region_id 是 String 待查询的区域ID。可以使用查询区域列表接口获取,控制台获取方法请参见:获取区域ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type
查询权限详情 功能介绍 该接口可以用于管理员查询权限详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/roles/{role_id}
应用程序的动态验证码,下图以登录验证为例。 此时,用户需要打开MFA应用程序,在首页查看用户已绑定账号的验证码,下图以华为云App为例。 在华为云APP界面右下角选择“我的 > MFA”,可以查看已绑定账号的验证码。 如果虚拟MFA验证码校验不通过,请参考:虚拟MFA验证码校验不通过怎么办。
IAM支持会话超时策略,超过规定时长未操作界面需重新登录;支持账号锁定策略,登录失败次数过多触发账号锁定;支持账号停用策略,长时间未登录触发账号停用;支持最近登录提示,用户可查看上次登录时间。 登录验证策略 父主题: 身份认证与访问控制
查询区域列表 功能介绍 该接口可以用于查询账号可以访问的区域列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/regions
验证码,下图以登录验证为例。 图5 虚拟MFA登录验证 此时,您需要打开智能设备上的虚拟MFA应用程序,查看并输入用户已绑定账号的验证码,下图以华为云App为例。 图6 查看MFA验证码 如何解绑虚拟MFA 解绑虚拟MFA适用于手机未丢失或者没有删除虚拟MFA应用程序的IAM用户
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
