检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
跳转到指定区域或服务 如需指定联邦用户登录的目标页面,比如联邦用户登录时,指定跳转到北京四局点,云监控服务CES主页。有以下两种配置方式: SP侧登录配置方法 拼接控制台获取的登录链接与指定url,拼接格式为“登录链接&service=指定url”。例如:获取的登录地址为https://auth
跳转到指定区域或服务 如需指定联邦用户登录的目标页面,比如联邦用户登录时,指定跳转到北京四局点,云监控服务CES主页。有以下两种配置方式: SP侧登录配置方法 拼接控制台获取的登录链接与指定url,拼接格式为“登录链接&service=指定url”。例如:获取的登录地址为https://auth
IAM用户的登录凭证,也可由IAM用户自己绑定。 暂不配置 手机号 选填。IAM用户绑定的手机号,可作为IAM用户的登录凭证,也可由IAM用户自己绑定。 暂不配置 描述 选填。记录IAM用户相关信息。 暂不配置 图10 配置访问方式 表4 访问方式 访问方式 说明 取值样例 编程访问
如果您无法管理您的访问密钥,请联系管理员: 由管理员管理您的访问密钥,方法请参见:管理IAM用户访问密钥。 请管理员为您配置权限或修改访问密钥保护状态。如需配置权限请参见:给IAM用户授权,如需修改访问密钥状态请参见:访问密钥保护。 父主题: 密码凭证类
Response给公有云。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack Client的操作只需要普通用户权限。
、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思
据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名
2.0协议的身份认证标准协议。在企业IdP中创建OAuth 2.0凭据,在华为云上创建基于OIDC的身份提供商,并配置授权信息、身份转换规则,将华为云的访问入口配置到企业Idp中,从而实现用户通过企业Idp单点登录华为云。 商用 基于OIDC协议的联邦身份认证 2020年9月 序号
允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpoint访问华为云API,例如:0ccad098-b8f4-495a-9b10-613e2a5exxxx。若未进行访问控制配置,则默认用户从所有VPC Endpoint都能访问API。
少有一个用户名规则生效,否则华为云不允许此用户登录;而用户组则取所有生效规则用户组名称的集合。一种比较实用的多规则配置方式是把用户名配置与用户组配置分离。这样的配置会非常容易阅读。 以下示例表示针对IdP中属于“idp_admin”用户组的用户生效,在IAM中的用户名为UserName,所属用户组为“admin”。
在本地进行分组或属性的更改,即可同步到云平台。 您的各个分支机构存在多个企业IdP,都需要访问同一个华为云账号,您需要在一个华为云账号中内配置多个IdP进行联邦认证。 IAM用户SSO 身份提供商中的用户登录华为云后,系统将自动匹配外部身份ID绑定的对应IAM子用户,从而拥有该子
如果删除并重新创建同名用户,则需要重新授权。 操作步骤 管理员登录IAM控制台。 在左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。 图1 创建用户 在“创建用户”页面配置“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。 图2 填写用户信息 表1 用户信息 参数
图8 选择状态 选择要给IAM用户配置的目标状态,若要停用IAM用户则选择“停用”,启用IAM用户则选择“启用”。 图9 修改状态 请排查用户是否有其他服务或场景在使用,停用正在使用的用户可能会对业务产生影响。 单击“确定”,确定IAM用户配置。 单击“确认”,完成所选IAM用户状态的修改。
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
修改用户组名称和描述 管理员在用户组列表中,单击用户组右侧的“编辑”,修改用户组名称和描述。 图5 修改用户组名称和描述 如果该用户组名称已配置在身份提供商的身份转换规则中,修改用户组名称将导致对应身份转换规则失效,请谨慎操作。 修改用户组中的用户 管理员在用户组列表中,单击用户组右侧的“用户组管理”。
现的对比,帮助用户开发本企业IdP系统的客户端脚本。 前提条件 企业IdP服务器支持IdP Initiated方式的联邦认证。 客户端需要安装python模块beautifulsoup4。 流程图 IdP initiated联邦认证的流程如下图所示。 图1 流程图(IdP initiated方式)
URL中domain_id所对应账号中IAM用户的token(无需特殊权限)。 响应参数 表3 响应Body参数 参数 参数类型 描述 config Object 配置信息。 表4 config 参数 参数类型 描述 security_compliance Object 密码强度策略信息。 表5 config
解绑弹性公网IP 弹性伸缩(AS) 删除伸缩组 存储 对象存储服务(OBS) 删除桶 创建、编辑、删除桶策略 配置对象策略 创建、编辑、删除桶ACL 配置日志记录 配置防盗链 增加、编辑桶清单 云硬盘服务(EVS) 删除云硬盘 云备份(CBR) 删除存储库 删除备份 备份恢复 删除策略
并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。目前IAM支持可视化视图、JSON视图两种自定义策略配置方式。 父主题: 权限管理
以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 在用户组列表中,单击用户组右侧的“授权”,进入授权页面。 图3 权限配置 在授权页面中,勾选需要授予用户组的区域级项目权限,并单击“下一步”。 选择作用范围。此处选择区域项目,则还需要选择待授权的项目。 单击“确定”,完成授权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
