检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
功能介绍 该接口可以用于管理员为用户组授予全局服务权限。权限作用范围请参见:系统权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT
objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote Array of objects 表示联邦用户在IdP中的用户信息。使用SAML协议时,由断言属性及运算符组成的表达式,取值由断言决定。使用OIDC协议时,取值由ID
objects 表示联邦用户在本系统中的用户信息。 user:联邦用户在本系统中的用户名称。group:联邦用户在本系统中所属用户组。 remote Array of objects 表示联邦用户在IdP中的用户信息。使用SAML协议时,由断言属性及运算符组成的表达式,取值由断言决定。使用OIDC协议时,取值由ID
服务和终端节点 查询服务列表 查询服务详情 查询服务目录 查询终端节点列表 查询终端节点详情 父主题: API
用户组管理 查询用户组列表 查询用户组详情 创建用户组 更新用户组 删除用户组 查询IAM用户是否在用户组中 添加IAM用户到用户组 移除用户组中的IAM用户 父主题: API
修改指定永久访问密钥 功能介绍 该接口可以用于管理员修改IAM用户的指定永久访问密钥,或IAM用户修改自己的指定永久访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
版本信息管理 查询Keystone API的版本信息 查询Keystone API的3.0版本信息 父主题: API
Metadata 查询Metadata文件 查询Keystone的Metadata文件 导入Metadata文件 父主题: 联邦身份认证管理
历史API 查询企业项目关联的用户组 查询企业项目已关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联的用户组权限
访问密钥管理 获取委托的临时访问密钥和securitytoken 获取用户的临时访问密钥和securitytoken 获取联邦用户的临时访问密钥和securitytoken 创建永久访问密钥 查询所有永久访问密钥 查询指定永久访问密钥 修改指定永久访问密钥 删除指定永久访问密钥 父主题:
说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 Statement Array of objects 授权语句,描述自定义策略的具体内容。 表11 role
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色
协议 查询协议列表 查询协议详情 注册协议 更新协议 删除协议 父主题: 联邦身份认证管理
区域管理 查询区域列表 查询区域详情 父主题: API
自定义策略管理 查询自定义策略列表 查询自定义策略详情 创建云服务自定义策略 创建委托自定义策略 修改云服务自定义策略 修改委托自定义策略 删除自定义策略 父主题: API
eny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Resource 否 Object 委托资源。当有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例:
eny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Resource 否 Object 委托资源。在有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例:
返回委托列表进行查看创建成功的委托。此时的委托将不包含任何权限。 在授权的确认弹窗中,单击“立即授权”。 勾选需要授予委托的权限,单击“下一步”,选择权限的作用范围。 给委托授权即给其他账号授权,给用户组授权即给账号中的IAM用户授权,两者操作方法相同,仅可选择的权限个数不同,授权操作请参见:给用户组授权。
管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。 继承所选用户组的策略:将IAM用户加入用户组,用户将拥有所选用户组的所有权限。 选择“继承所选用户组的策略”,请勾选用户需要加入的用户组。 图2 暂未开通企业项目
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
