检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取Domain级Token POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity
身份认证与访问控制 统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理、访问控制和身份认证的基础服务,您可以使用IAM创建和管理用户、用户组,通过授权来允许或拒绝他们对云服务和资源的访问,通过设置安全策略提高账号和资源的安全性
用户名 "password": "********", //IAM用户密码 "domain": { "name": "domainname" //IAM
与IAM相同的是,企业管理可以进行人员管理及权限分配;不同的是,企业管理还可以管理财务及应用,同时企业管理对资源的授权粒度比IAM的更为精细,建议中大型企业使用企业管理服务。 更多有关IAM功能的介绍请参见统一身份认证服务。
通过IAM服务获取到的Token有效期为24小时,需要使用同一个Token鉴权时,可以先将Token缓存,避免频繁调用。 涉及API 当您使用Token认证方式完成认证鉴权时,需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头中。
创建IAM用户 管理员可以参考以下操作分别创建IAM用户Test_User_A和Test_User_B。 登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。 在左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。
可通过统一身份认证服务搜索委托名称:cbc_customerorgagent。 如果查询结果有数据,排除该原因,进入原因2。 如果查询结果无数据,表示该委托已删除。
权限策略 如果您需要对您所拥有的企业中心进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用企业中心的其它功能。
构造请求 本节介绍REST API请求的组成,并以调用IAM服务的管理员创建IAM用户来说明如何调用API,该API获取用户的Token,Token可以用于调用其他API时鉴权。
您可以通过统一身份认证服务给IAM用户配置企业项目相关权限,详见《统一身份认证服务用户指南》。 当前企业项目权限管理功能已迁移至统一身份认证服务,您可在统一身份认证服务控制台为用户、用户组进行基于企业项目的授权操作,具体请参见给IAM用户授权和创建用户组并授权。
步骤2:创建IAM用户及用户组:在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户,并将IAM用户加入用户组,实现人员分组。 步骤3:企业项目与IAM用户组关联授权:在统一身份认证服务控制台为各用户组授予应有的权限,并将其加入相应的企业项目,实现人员授权。
在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 在统一身份认证服务,左侧导航菜单中,单击“用户组”。 在用户组列表中,单击IAM用户所在用户组右侧的“权限配置”。 在用户组权限页签中,单击列表左上方的“配置权限”。 选择作用范围为“全局服务”。
策略及授权项说明 如果您需要对您所拥有的企业项目(Enterprise Project)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节
为用户组添加IAM用户 管理员可以参考以下操作将IAM用户Test_User_A和Test_User_B分别添加至用户组Test_ECS_A和Test_ECS_B。 登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。
云服务依赖策略的配置方法主要分为以下两种: 在统一身份认证服务中为用户组添加云服务系统策略,具体操作请参见创建用户组并授权。
涉及到的操作如下: 创建用户组并授权:您可以通过统一身份认证服务(IAM)来创建用户组并授权。管理员可以创建用户组,并给用户组授予策略或角色,然后将用户加入用户组,使得用户组中的用户获得相应的权限。
统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。
在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。 在左侧导航窗格中,选择“用户组”页签,单击右上方的“创建用户组”。 图1 创建用户组 在“创建用户组”界面,输入“用户组名称”,例如“Test_ECS_A”。 图2 输入用户组名称 单击“确定”。
关于“权限”、“角色”、“策略”概念请参见《统一身份认证服务 IAM用户指南》。 IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统权限给用户组授权,授权后,用户就可以基于权限对云服务进行操作。
操作步骤 创建用户组 在管理控制台统一身份认证服务(IAM)页面,分别创建用户组UserGroup B和UserGroup C。 创建用户组并授权详见创建用户组并授权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
