检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。 父主题:
委托管理类 创建委托时提示权限不足怎么办 如何为委托授予所有项目服务权限
CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后,CTS开始记录操作事件用于审计,开通方法参见开通云审计服务。开通云审计服务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作,作为关
Response给公有云。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack Client的操作只需要普通用户权限。
部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security Administrator权限。 总体思路
Chrome浏览器禁用密码联想与保存 当用户首次使用Google Chrome浏览器成功登录华为云,浏览器会默认弹框提示用户并确认是否保存登录密码,这是由于安装Google Chrome浏览器后,浏览器“设置”页面的“自动填充”区域中,“密码”页面下“提示保存密码”和“自动登录”选项是默认开启的。
查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
设置策略名称 “策略配置方式”选择“可视化视图”。 在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略
项目服务权限,使被委托方拥有该项目下的权限,权限在其他项目不生效。 如需修改委托权限范围为所有项目服务权限,您可以在IAM控制台为委托重新配置权限。如果您无法在控制台进行操作,请按照以下步骤为委托授予所有项目服务权限。 操作步骤 委托方登录华为云。 访问网址:API Explor
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
方式请参见虚拟用户SSO与IAM用户SSO的适用场景。 虚拟用户SSO 企业IdP用户登录华为云后,系统为其自动创建虚拟用户信息,并根据您配置的身份转换规则为其授予访问权限。 IAM用户SSO 企业IdP用户登录华为云后,系统将自动匹配外部身份ID绑定的对应IAM子用户,从而拥有该子用户所在用户组的权限。
//使用全局域名获取自定义代理登录票据 String endpoint = "https://iam.myhuaweicloud.com"; //配置客户端属性 HttpConfig config = HttpConfig.getDefaultHttpConfig() .withIg
创建身份提供商 功能介绍 该接口可以用于管理员创建身份提供商。请创建身份提供商后,注册协议并修改身份提供商配置。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
勾选 为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。 图2 配置访问方式 配置“凭证类型”和“登录保护”。 图3 配置凭证类型和登录保护 表3 配置凭证类型和登录保护 凭证类型与登录保护 示例 说明 访问密钥 不勾选 创建用户完成后即可下载本次
xaccount_type 是 String 该字段为标识租户来源字段,默认为空。 metadata 是 String 该字段为用户IdP服务器的Metadata文件的内容。 响应参数 表4 响应Body参数 参数 参数类型 描述 message String 导入结果信息。 请求示例
如何绑定虚拟MFA设备 如何获取虚拟MFA验证码 如何解绑、重置虚拟MFA 虚拟MFA验证码校验不通过怎么办 无法接收验证码怎么办 账号被锁定怎么办 API访问控制策略不生效怎么办 解绑虚拟MFA后,登录时仍需通过虚拟MFA进行登录验证
作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项,称为系统策略。管理员给
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
