检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
logintoken是系统颁发给自定义代理用户的登录票据,承载用户的身份、session等信息。 调用自定义代理URL登录云服务控制台时,可以使用本接口获取的logintoken进行认证。 自定义代理登录票据logintoken的有效期默认为600秒,即10分钟,取值范围为10
该接口可以用于通过用户名/密码的方式进行认证来获取IAM用户的Token。Token是系统颁发给IAM用户的访问令牌,承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时,可以使用本接口获取的IAM用户Token进行鉴权。但强烈推荐您使用AK/SK签名认证方式调用API,可以避免因缓存的Token失效导致的API调用失败的问题。
最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操
以B账号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。
请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限 设置虚拟私有云(VPC)的权限
托权限的用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。
修改IAM用户密码 功能介绍 该接口可以用于IAM用户修改自己的密码。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST /v3/us
查询所有永久访问密钥 功能介绍 该接口可以用于管理员查询IAM用户的所有永久访问密钥,或IAM用户查询自己的所有永久访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
例如,管理您账号中的ECS资源。 用户组 用户组是IAM用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。当某个IAM用户加入多个用户组时,此IAM用户同时拥有多个用户组的权限,即多个用户组权限的全集。 “admin
责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。 父主题:
IAM的权限管理功能可以实现该需求。 图1 权限设置模型 负责管理公司所有资源的团队。 负责管理公司财务的团队。 负责查看并监控所有资源使用情况的团队。 负责计算域运维的团队。 负责网络域运维的团队。 负责数据库运维的团队。 负责安全域运维的团队。 通过表1,给公司中不同的职能团
该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的用户详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 该接口无法查询IAM用户的手机号、邮箱等信息。如需查询上述信息,请参见:查询IAM用户详情(推荐)。
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。
可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作,作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用IAM服务时,如果触发了监控列表中的关键操作,那么CTS会在记录操作日志的同时,向相关订阅者实时发送通知。
如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云
统颁发给自定义身份代理用户的登录票据,承载用户的身份、session等信息。调用自定义身份代理URL登录云服务控制台时,可以使用本接口获取的logintoken进行认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中的资源不能转移,只能删除后重建。 使用IAM项目,请参考:项目。 企业项目 企业项目是IAM项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。
initiated联邦认证的流程如下图所示。 图1 流程图(IdP initiated方式) 步骤说明 Client调用IdP提供的基于IdP initiated方式的登录链接,并在登录链接中设置公有云的地址,即公有云Metadata文件中的“entityID”。 Client获取IdP的登录页面
查询服务目录 功能介绍 该接口可以用于查询请求头中X-Auth-Token对应的服务目录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET
删除SAML身份提供商 功能介绍 该接口可以用于管理员删除基于SAML协议的身份提供商。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
