检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
什么是临时安全凭证 临时安全凭证是具备临时访问权限的身份凭证,包括临时AK/SK和SecurityToken,临时安全凭证与永久安全凭证的工作方式几乎相同,仅存在小量差异。 临时安全凭证与永久安全凭证的差异 临时安全凭证存在有效期,可以在15分钟至24小时之间进行设置;永久安全凭证的有效期为永久,并且不能进行设置。
作为华为账号主体,建议您不使用账号访问华为云,而是为自己创建一个IAM用户,并授予该用户管理权限,以使用该IAM用户代替账号进行日常管理工作,保护账号的安全。 合理设置访问方式 IAM支持为用户设置编程访问、管理控制台访问方式,请参考如下说明为IAM用户设置访问方式: 如果IA
Anti-DDoS流量清洗服务的管理员权限 指定区域项目资源 AAD Administrator DDoS高防服务的管理员权限 指定区域项目资源 WAF Administrator Web应用防火墙的管理员权限 指定区域项目资源 VSS Administrator 漏洞扫描服务的管理员权限 指定区域项目资源 CGS
parameter 配置项 凭据管理服务(CSMS) secretName 凭据名称 智能数据洞察(DataArtsInsight) workspace 工作空间 分布式缓存服务(DCS) instance 实例 文档数据库服务(DDS) instanceName 实例名称 数据湖探索(DLI)
托的账号可以根据权限代替您进行资源运维工作。 委托其他云服务:由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证,与401类似,但请求者应当使用代理进行授权。 408 Request Time-out 服务器等待请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。
区域管理 项目管理 账号管理 IAM用户管理 用户组管理 权限管理 自定义策略管理 委托管理 企业项目管理 安全设置 联邦身份认证管理 自定义身份代理 版本信息管理 服务和终端节点
的配置。 操作流程 操作步骤 说明 准备工作 注册华为账号并完成实名认证。 步骤一:创建用户组 完成创建一个用户组,授权的最小单位是用户组。 步骤二:给用户组授权 给用户组授予策略或角色,后续加入用户组的用户可以获得相应的权限。 准备工作 如果您已有一个华为账号,请跳到步骤一。如
S、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建
user tenantLoginBySamlSuccess 企业联邦用户通过自定义身份代理登录成功 user federationLoginNoPwdSuccess 企业联邦用户通过自定义身份代理登录失败 user federationLoginNoPwdFailed 创建用户组 userGroup
息,并按照身份转换规则授权。虚拟用户SSO适用于以下场景: 出于管理成本考虑,您不希望在云平台创建和管理IAM用户,从而避免用户同步带来的工作量。 您希望根据用户在本地企业IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当企业Idp用户进行权限调整时,只需要在本地进行分组或属性的更改,即可同步到云平台。
S服务器只分配给指定IAM用户使用,且两个项目中的资源相互隔离。 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。 解决方案 针对需求1:当前华为云提供的企业管理服
AM用户也可以为自身授予权限。这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色
密码最短使用时间策略默认关闭,对账号以及账号下的IAM用户生效。 访问控制 访问控制策略最多可设置200条。 如果IAM用户或联邦用户通过代理访问华为云,需按照代理IP设置允许访问的IP地址区间/IP地址或网段;如果IAM用户或联邦用户通过公网访问华为云,请按照公网IP进行设置。 仅支持IPv4类型的地址。
token。 查询联邦用户可以访问的账号列表 该接口用于查询联邦用户可以访问的账号列表。 自定义身份代理 接口 说明 获取自定义身份代理登录票据 该接口用于获取自定义身份代理登录票据logintoken。 版本信息管理 接口 说明 查询Keystone API的版本信息 该接口用于查询Keystone
所以需要使用API来完成。 本章节指导用户如何使用API调用的方式对IAM用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM ReadOnlyAccess(推荐)或Security Administrator权限。
SAML协议版本,固定值为“saml”。 OS_IDENTITY_PROVIDER_URL Identity Provider处理通过客户端代理机制(ECP)发起的认证请求的地址。 OS_USERNAME 用户在Identity Provide认证时使用的用户名。 OS_PASSWORD
S服务器只分配给指定IAM用户使用,且两个项目中的资源相互隔离。 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。 解决方案 针对需求1:当前华为云提供的企业管理服
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
