检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
被委托的账号 被委托的账号只能是账号,不能是联邦用户、IAM用户。 配置安全设置 敏感操作 一个用户(IAM用户或账号)敏感操作进行二次验证的设备仅能绑定一个手机、邮件地址或虚拟MFA设备。 绑定虚拟MFA前需要先在智能设备上安装一个MFA应用程序(例如: “华为云”手机应用程序),才能绑定虚拟MFA设备。
xaccount_type 是 String 该字段为标识租户来源字段,默认为空。 metadata 是 String 该字段为用户IdP服务器的Metadata文件的内容。 响应参数 表4 响应Body参数 参数 参数类型 描述 message String 导入结果信息。 请求示例
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
方式请参见虚拟用户SSO与IAM用户SSO的适用场景。 虚拟用户SSO 企业IdP用户登录华为云后,系统为其自动创建虚拟用户信息,并根据您配置的身份转换规则为其授予访问权限。 IAM用户SSO 企业IdP用户登录华为云后,系统将自动匹配外部身份ID绑定的对应IAM子用户,从而拥有该子用户所在用户组的权限。
责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。 父主题:
CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后,CTS开始记录操作事件用于审计,开通方法参见开通云审计服务。开通云审计服务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作,作为关
Chrome浏览器禁用密码联想与保存 当用户首次使用Google Chrome浏览器成功登录华为云,浏览器会默认弹框提示用户并确认是否保存登录密码,这是由于安装Google Chrome浏览器后,浏览器“设置”页面的“自动填充”区域中,“密码”页面下“提示保存密码”和“自动登录”选项是默认开启的。
间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在
据的安全性。 最终一致性 最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果
查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项,称为系统策略。管理员给
项目服务权限,使被委托方拥有该项目下的权限,权限在其他项目不生效。 如需修改委托权限范围为所有项目服务权限,您可以在IAM控制台为委托重新配置权限。如果您无法在控制台进行操作,请按照以下步骤为委托授予所有项目服务权限。 操作步骤 委托方登录华为云。 访问网址:API Explor
部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security Administrator权限。 总体思路
设置策略名称 “策略配置方式”选择“可视化视图”。 在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
//使用全局域名获取自定义代理登录票据 String endpoint = "https://iam.myhuaweicloud.com"; //配置客户端属性 HttpConfig config = HttpConfig.getDefaultHttpConfig() .withIg
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
