检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离,是物理隔离。在IAM项目中的资源不能转移,只能删除后重建。 使用IAM项目,请参考:项目。 企业项目 企业项目是IAM项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中
限策略,选择可访问的资源范围,不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托,一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后,就获得了委托权限。此时,ECS实例上运行的应用程序可获取委托的临时访问
UTC时间,格式为YYYY-MM-DDTHH:mm:ss.ssssss,日期和时间戳格式如:2023-06-28T08:56:33.710000。 请求示例 管理员创建一个名为“IAMUser”的IAM用户,用户的邮箱地址是IAMEmail@huawei.com,手机号码是008612345678910,使用
身份提供商的名称。身份提供商名称在全局范围内不能重复,建议以域名唯一标识命名。 协议 身份提供商协议。当前华为云支持基于SAML、OIDC的身份提供商,如需创建基于OIDC协议的联邦身份认证,请参考基于OIDC协议的虚拟用户SSO。 类型 身份提供商类型。一个账号下只能存在一种类型的身份提供商。本章
如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的I
AM用户没有任何权限,管理员或IAM用户自身可以在IAM控制台为其授予权限。授权后,用户即可根据权限使用账号中的云服务资源。 约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。
公司委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托以及委托的细粒度授权。 企业需求 B公司希望将其他公司委托的资源分配给公司中员工(IAM用户),让员工帮助管理委托的资源。 如果一个公司与B公司创建了多个委托关
个权限。 2 因为统一身份认证服务为免费服务,因此此最佳实践中不涉及费用。 操作流程 IAM通过用户组功能实现用户的授权。本文档以A公司将一个员工配置为“华东-上海二”区域的网络域运维负责人为例,介绍如何通过IAM实现多运维人员权限设置需求,流程如图2所示。如果需要将员工配置为其
创建IAM用户并登录 操作场景 上一个章节已完成用户组的创建,本章节将描述A公司使用已注册的账号Company-A,给公司成员创建IAM用户“Alice”并加入用户组“开发人员组”的操作,使得它拥有独立的用户和密码,IAM用户Alice可以独立登录华为云并使用权限范围内的资源。 操作流程
请求URL 参数 说明 URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 承载REST服务端点的服务器域名或IP,不同服务在不同区域,Endpoint不同,可以从使用前必读中获取。例如IAM服务在“华北-北京一”区域的Endpoint为iam.cn-north-1
准备工作 注册华为账号并完成实名认证。 步骤一:创建用户组 完成创建一个用户组,授权的最小单位是用户组。 步骤二:给用户组授权 给用户组授予策略或角色,后续加入用户组的用户可以获得相应的权限。 准备工作 如果您已有一个华为账号,请跳到步骤一。如果您还没有华为账号,请参考以下步骤创建。
身份提供商的名称。身份提供商名称在全局范围内不能重复,建议以域名唯一标识命名。 协议 身份提供商协议。当前华为云支持基于SAML、OIDC的身份提供商,如需创建基于OIDC协议的联邦身份认证,请参考基于OIDC协议的虚拟用户SSO。 类型 身份提供商类型。一个账号下只能存在一种类型的身份提供商。本章
String IAM用户描述信息。 表6 user.links 参数 参数类型 描述 self String 资源链接地址。 请求示例 管理员创建一个名为“IAMUser”的用户。 POST https://iam.myhuaweicloud.com/v3/users { "user":
AM在其他区域(除全局服务外的所有区域)提供部分API,请您根据约束与限制,选择对应区域的终端节点调用API。 表1 IAM的终端节点 区域名称 区域 终端节点(Endpoint) 全局 global iam.myhuaweicloud.com 华北-北京一 cn-north-1
求体中必须填写session_user.name参数。 企业IdP自定义代理携带获取到的临时AK/SK和securitytoken通过全局域名(iam.myhuaweicloud.com)调用API(POST /v3.0/OS-AUTH/securitytoken/loginto
管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。
of与empty条件不同,这两个条件返回的是一个布尔值,该值不能用于填充local中的占位符。所以以下示例中,仅有一个占位符“{0}”用于被remote块中的第一个Empty条件填充,第二个group为一个固定的值admin。 以下示例表示联邦用户在IAM中的用户名为“remote”的第一个属性,即User
Path3、orgPath4下的成员,策略匹配失败。 ForAnyValue:测试请求值集的至少一个成员是否与条件键值集的至少一个成员匹配。如果请求中的任何一个键值与策略中的任何一个条件值匹配,则条件返回true。对于没有匹配的键或空数据集,条件返回false。 { "Version":
管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。
sdk.iam.v3.IamClient; import com.huaweicloud.sdk.iam.v3.model.*; //使用全局域名获取自定义代理登录票据 String endpoint = "https://iam.myhuaweicloud.com"; //配置客户端属性
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
