检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在“访问控制”界面中,选择“控制台访问”页签,设置允许访问的IP地址或网段。 “允许访问的IP地址区间”:限制用户只能从设定范围内的IP地址登录。 “允许访问的IP地址或网段”:限制用户只能从设定的IP地址或网段登录。 例如:10.10.10.10/32 “允许访问的IP地址区间”和“允许访
使用IAM,您可以将账号内不同的资源按需分配给创建的IAM用户,实现精细的权限管理。例如:控制用户Charlie能管理项目B的VPC,而让用户James只能查看项目B中VPC的数据。 图1 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,
可能原因:对于区域级服务,管理员没有在对应的区域进行授权。 解决方法:管理员在对IAM所在用户组授权时,选择对应的区域。如果管理员授予用户默认区域项目的权限,用户只能访问该默认项目中的资源,不拥有该默认项目下IAM子项目的权限,建议您授予IAM用户最小区域权限,方法请参见:给用户组授权。 可能原因:对于
在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。 图3 创建用户组 在“创建用户组”界面,输入“用户组名称”为“网络域运维”,单击“确定”。 用户组名称只能包含中文、大小写字母、数字、空格或特殊字符(-_)。 图4 输入名称 单击新建用户组右侧的“授权”。 图5 授权 在搜索框中搜索“VPC FullAccess”和“ELB
e2d75429549044d2b313fbdd11520f7d Tenant Guest c40fc1b70fb14140a61ac60c7c292874 role_id只能输入一个权限ID。如需修改多个委托权限,请分别调用该接口。 如需获取其它权限ID,请参见:查看权限列表。 单击“调试”,发送接口请求。 调试成功,为委托授予所有项目服务权限。
IAM项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中的资源不能转移,只能删除后重建。 使用IAM项目,请参考:项目。 企业项目 企业项目是IAM项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中
基本流程 通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。 账号A创建委托。
长度不能超过64个字符。 只能包含如下字符:大小写字母、空格、数字或特殊字符(-_.)且不能以数字或空格开头。 用户组名 长度不能超过128个字符。 只能包含如下字符:中文、大小写字母、数字、空格或特殊字符(-_)。 自定义策略名 长度不能超过128个字符。 只能包含如下字符:大小写字母、中文、数字、空格或特殊字符(-_
XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy
是 Object 用户信息。 表3 user 参数 是否必选 参数类型 描述 name 是 String IAM用户名,长度1~64之间,只能包含如下字符:大小写字母、空格、数字或特殊字符(-_.)且不能以数字或空格开头。 domain_id 否 String IAM用户所属账号ID。
限制用户只能从设定范围内的IP地址访问华为云,可以在0.0.0.0~255.255.255.255之间设置。默认值为0.0.0.0~255.255.255.255。如不设置或设置为默认值意味着您的IAM用户可以从任意地方访问华为云。 允许访问的IP地址或网段 限制用户只能从设定的IP地址或网段访问华为云,例如:10
用管理以及成本核算。 主账号与子账号中都可以再创建更小层级的IAM用户,这些IAM用户分别属于对应的账号,可以帮助账号管理资源。企业主账号只能管理企业主账号创建的IAM用户,无法管理子账号创建的IAM用户。 如需创建企业子账号,请参考:新建子账号。 父主题: 项目管理类
如果您可以正常使用已与账号绑定的虚拟MFA应用程序,需要解绑MFA,请参考:解绑虚拟MFA。 如果您无法正常使用已与账号绑定的虚拟MFA应用程序,将无法解绑MFA,只能重置MFA。请参考:重置虚拟MFA。 解绑或重置后,如需再次绑定虚拟MFA,请IAM用户在“安全设置”中自行重新绑定,详细操作请参见:如何绑定虚拟MFA设备。
某些服务可实现指定资源的分配,例如某一台ECS服务器只分配给指定IAM用户使用,且两个项目中的资源相互隔离。 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。 解决方案
基本信息 本页面的所有操作允许账号和IAM用户修改。账号也可以参考基本信息管理修改登录密码、关联手机号、绑定邮件地址。 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。 一个用户(IAM用户或账号)仅能绑定一个手机、邮件地址、虚拟MFA设备,即为敏感操作进行二次验证的设备。
ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略,限制用户只能从特定IP地址区间、网段及VPC Endpoint登录 IAM 控制台或访问 OpenAPI。 访问控制 父主题: 身份认证与访问控制
(临时AK/SK和securitytoken),具体方法请参见:获取临时AK/SK和securitytoken。 如需使用永久AK/SK,只能由账号或是实体IAM用户创建密钥,共享给联邦用户。由于密钥表示用户所拥有的权限,因此建议由与联邦用户同在一个用户组的实体IAM用户创建并分享密钥。
次登录时间,如果5分钟内登录多次,仅记录第一次登录时间。如果不登录账号,仅使用账号密码获取token,也将会刷新最近活动时间。 基本信息 只能修改IAM用户的基本信息,不能修改账号的基本信息。用户名称、用户ID、创建时间仅支持查看,不支持修改。 图2 修改IAM用户状态、访问方式、描述、外部身份ID
您是账号下的IAM用户,需要管理员给您授予Security Administrator权限后,才能获取具有Security Administrator权限Token,否则只能获取您自身已有权限的Token。 Security Administrator权限说明 表1 Security Administrator权限说明
、OIDC的身份提供商,如需创建基于OIDC协议的联邦身份认证,请参考基于OIDC协议的虚拟用户SSO。 类型 身份提供商类型。一个账号下只能存在一种类型的身份提供商。本章介绍虚拟用户SSO,此处选择虚拟用户SSO。 虚拟用户SSO:该身份提供商中的用户登录华为云后,系统为其自动
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
