检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
是否必选 参数类型 描述 user_id 是 String 待修改登录保护状态信息的IAM用户ID(不支持修改自己的登录保护状态信息),获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token
ken”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 图1 获取用户Token响应消息头 响应消息体 响应消息体通常以结构化格式返回,与响应消息头中Content-type对应,传递除响应消息头之外的内容。 对于获取IAM用户Tok
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
id}/login-policy 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
账号被锁定怎么办 问题描述 登录系统时,提示“当前用户已被锁定,请15分钟后重试”。 调用请求参数包含密码的API(如获取IAM用户Token)时,响应信息如下: { "error": { "code": 401, "message": "The
0/OS-ROLE/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 role_id 是 String 待查询的自定义策略ID,获取方式请参见:自定义策略ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String
0/OS-ROLE/roles/{role_id} 表1 路径参数 参数 是否必选 参数类型 描述 role_id 是 String 待修改的自定义策略ID,获取方式请参见:自定义策略ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
xml。下载华为云元数据文件,并设置文件名称,例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。 在华为云上创建身份提供商 在IAM控制台上创建身份提供商,配置身份
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
描述 roles Array of objects 角色列表。 表4 roles 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名称。 description String 权限的英文描述信息。 description_cn
间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在
本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为企业项目购买资源。 登录华为云控制台,单击页面左上角的,选择“计算 > 弹性云服务器 ECS”。 单击页面右上角的“购买弹性云服务器”,系统进入购买页。 图9 购买弹性云服务器 配置弹性云服务器各项信息,
键和其他全局条件键。 通用全局条件键:在鉴权过程中,云服务不需要提供用户身份信息,IAM将自动获取并鉴权。详情请参见:通用全局条件键。 其他全局条件键:在鉴权过程中,IAM通过云服务获取条件信息并鉴权。仅部分已对接的云服务支持其他全局条件键。 服务级条件键(前缀为服务缩写,如ob
g:DomainName 字符串 账号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。 g:ProjectName 字符串
I参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 一个自定义策略role.policy
绑定MFA设备 功能介绍 该接口可以用于IAM用户为自己绑定MFA设备。启用MFA后不影响已获取Token的有效性,同时无法强制忽略MFA的二次认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
调用通过委托获取临时访问密钥和securitytoken接口获取具有临时身份的访问密钥和securityToken。 访问密钥和securitytoken的默认有效期为900秒,即15分钟,取值范围为15分钟-24小时,这里设置有效期为3600秒,即一小时。 注意: 下一步获取自定义代
tokens),获取具有临时身份的securityToken,调用方法请参见:通过委托获取临时AK/SK和securitytoken。 通过委托获取securitytoken时,请求体中必须填写session_user.name参数。 企业IdP自定义代理携带获取到的临时AK/S
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
