检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
以IAM用户身份登录控制台。 在登录验证页,单击“绑定虚拟MFA”。 图4 登录验证 页面右侧会弹出绑定虚拟MFA页面,请根据提示绑定虚拟MFA。 如何获取虚拟MFA验证码 绑定虚拟MFA并开启登录保护或操作保护后,用户在进行登录或进行敏感操作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。
租户名/原华为云账号:IAM用户所属的账号,即华为云账号。如果不知道账号名,请向管理员获取。 IAM用户名/邮件地址:在IAM创建用户时,输入的IAM用户名/邮件地址。如果不知道用户名及初始密码,请向管理员获取。 IAM用户密码:IAM用户的密码,非账号密码。 单击“登录”,完成登录。
le Chrome浏览器后,浏览器“设置”页面的“自动填充”区域中,“密码”页面下“提示保存密码”和“自动登录”选项是默认开启的。如果用户根据界面提示确认保存密码后,下次登录华为云时,登录界面的密码输入框会自动联想填充字符,为了确保账号及密码安全,用户可关闭该功能。以Google
但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云审计服务,可以对其他所有服务执行所有操作。 以下策略样例表示:拒绝IAM用户使用云审计服务。 {
使用IAM授权的云服务 IAM为华为云其他服务提供认证和授权功能,在IAM中创建的用户,经过授权后可以根据权限使用系统中的其他服务。IAM支持的所有服务权限,请参见:系统权限。对于不支持使用IAM授权的服务,账号中创建的IAM用户无法使用该服务,请使用账号登录使用该服务。支持使用IAM授权的云服务请参见下方表格内容。
角色 角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,
用户组:“admin” 生效条件:“属性”:“_NAMEID_”;“条件”:“any_one_of”;“值”:“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。
管理员在IAM控制台左侧导航窗格中,选择“权限管理>权限”页签。 在指定策略的操作列中单击“编辑”,或者单击需要修改的策略名称,进入策略详情页。 图1 修改自定义策略 可根据需要修改“策略名称”和“策略描述”。 按可视化视图配置自定义策略方式修改策略。 单击“确定”完成修改。 删除自定义策略 如果当前自定义策略
基本流程 通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。
您的账号安全,建议您按照业务场景为委托授予最小权限。 单击“确定”,委托创建完成。 委托方操作完成,将自己的账号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后,被委托方可以通过切换角色至委托方号中管理委托资源。 父主题: 委托其他账号管理资源
为云,例如:10.10.10.10/32。 允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API,例如:0ccad098-b8f4-495a-9b10-613e2a5exxxx。若未进行访问控制配置,则默认用户从所有VPC
如果管理员在创建IAM用户时,没有将其加入任何用户组,新创建的IAM用户没有任何权限,管理员或IAM用户自身可以在IAM控制台为其授予权限。授权后,用户即可根据权限使用账号中的云服务资源。 约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。
Token管理 获取IAM用户Token(使用密码) 获取IAM用户Token(使用密码+虚拟MFA) 获取委托Token 校验Token的有效性 父主题: API
访问密钥管理 获取委托的临时访问密钥和securitytoken 获取用户的临时访问密钥和securitytoken 获取联邦用户的临时访问密钥和securitytoken 创建永久访问密钥 查询所有永久访问密钥 查询指定永久访问密钥 修改指定永久访问密钥 删除指定永久访问密钥 父主题:
需要管理员给您授予相应云服务访问权限后,才能获取具有相应权限的Token,并通过鉴权。 调用接口校验Token的有效性进行验证。如果您的Token已失效,可通过调用接口获取IAM用户Token(使用密码)或获取IAM用户Token(使用密码+虚拟MFA)重新获取Token。 父主题: 其他问题
None 操作指导 统一身份认证服务 IAM 通过Explorer获取IAM用户Token 04:50 获取IAM用户Token 统一身份认证服务 IAM 创建用户组并授权操作流程 03:42 创建用户组并授权 统一身份认证服务 IAM 创建IAM用户操作流程 04:50 创建IAM用户
其他问题 如何通过API Explorer获取用户Token 如何通过Postman获取用户Token Token鉴权失败怎么办 Internet Explorer浏览器下输入框提示信息无法自动消失怎么办 如何在Google Chrome浏览器禁用密码联想与保存 区域和可用区
创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证的优势
时: 请求成功。 <?xml version="1.0" encoding="UTF-8"?> <md:EntityDescriptor ID="Mc106d5b14b70a4945fa270d8b52d0ed" entityID="https://iam.myhuaweicloud
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
