检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
永久移动,请求的资源已被永久的移动到新的URI,返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改,服务器返回此状态码时,不会返回任何资源。 305 Use Proxy
第二天重新获取。 请确认短信验证码是否被视作垃圾短信而被拦截,您可以解除应用软件的短信拦截。 请在手机短信中的“拦截短信”或“垃圾短信”中查找是否有华为云验证码相关短信。 网络通讯异常可能会造成短信丢失,请重新获取或稍后再试。您也可以尝试将SIM卡移动到另一部手机,然后重试。 为
加入GroupC用户组中,具体方法请参见:用户组添加用户。 请确认该IAM用户支持编程访问华为云服务。如需修改IAM用户访问方式,请参考:查看或修改IAM用户信息。 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token和
生效。具体请参见:依赖角色的授权方法。 约束与限制 企业项目授权场景下不支持授予角色。 角色内容 给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DNS Administrator”为例,说明角色的内容。 图1 DNS Administrator角色内容 {
使配置生效。 界面提示“JSON文件格式不完整”:请修改JSON语句,或单击“取消”,取消本次修改内容。 相关操作 查看规则:在“身份转换规则”区域单击“查看规则”。新创建的身份转换规则在JSON文件中显示。JSON文件内容说明请参考:身份转换规则详细说明。 父主题: 基于SAML协议的虚拟用户SSO
授权范围”页面,选择授权IAM用户使用的企业项目。 单击“确定”,完成IAM用户授权。 授权完成后,管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。 企业项目授权场景下,授予OBS相关的权限后,大概需要等待15~30分钟策略才能生效。 父主题: IAM用户
源。 选择“持续时间”,填写“描述”信息。 单击“完成”。 如您不需要给委托授权,在授权的确认弹窗中单击“取消”,可以直接返回委托列表进行查看创建成功的委托。此时的委托将不包含任何权限。 在授权的确认弹窗中,单击“立即授权”。 勾选需要授予委托的权限,单击“下一步”,选择权限的作用范围。
策略-系统策略 云服务在IAM预置了常用授权项,称为系统策略。管理员给用户组授权时,可以直接使用这些系统策略,系统策略只能使用,不能修改。如需查看所有云服务的系统策略,请参见:系统权限。 如果管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的系统策略,原因是该服务暂时不支
从上图中可知,联邦身份认证的步骤为: 用户在浏览器中打开从IAM上获取到的登录链接,浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的配置信息,构建OIDC授权Request,发送给浏览器。 浏览器收到请求后,转发OIDC授权Request给企业IdP。
您可以通过云审计服务(Cloud Trace Service,CTS)对IAM的关键操作事件进行收集、存储和查询,用于安全分析、合规审计、资源跟踪和问题定位等。为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议您开启云审计服务。
分配委托权限操作完成,新创建的IAM用户可以通过切换角色至委托方账号中,帮助您管理委托资源。 后续操作 被委托方账号或分配了委托权限的IAM用户均可以切换角色至委托方账号中,查看并根据权限使用委托资源。 父主题: 委托其他账号管理资源
企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为:
企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为:
password 是 Object 用户密码认证信息。 说明: user.name和user.domain.name可以在界面控制台“我的凭证”中查看,具体获取方法请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 该接口提供了锁定机制用于防止暴力破解,调用时,请确保用
password 是 Object IAM用户密码认证信息。 说明: user.name和user.domain.name可以在界面控制台“我的凭证”中查看,具体获取方法请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 该接口提供了锁定机制用于防止暴力破解,调用时,请确保用
AM用户名,方法请参见:获取账号、IAM用户、项目名称和ID。 单击“Send”,发送API请求。 图4 发送API请求 在返回的响应头中查看获取的用户Token,用户调用IAM其他API接口时,可以使用该Token进行鉴权。 图5 获取Token 如果返回值为401,表示认证失败,请确认Request
示例: "obs:bucket:ListAllMybuckets":表示查看OBS桶列表权限,其中obs为服务名,bucket为资源类型,ListAllMybuckets为操作。 您可以在对应服务“API参考”资料中查看该服务所有授权项,如OBS授权项。 Condition:条件 使策略生效的特定条件,包括条件键和运算符。
步骤说明 Client调用公有云系统提供的“通过SP initiated方式获取联邦token”接口。 公有云系统根据URL中的用户及IdP信息查找Metadata文件,发送SAML Request,请求经过中间媒介Client。 Client对SAML Request进行重新封装后转发SAML
资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 一个自定义策略role.policy.Statement不能同时包含项目级服务和全局服务的action。查看服务权限作用范围请参考:系统权限。 Effect 是 String 作用。包含两种:允许(Allow)和拒绝(Deny),既有Allow又
IAM用户在外部系统中的ID。长度小于等于128位,须与xuser_type同时存在。使用API设置外部身份ID后,由于时延IAM控制台暂无法实时显示,请稍后刷新查看。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdomain_type、xdo
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
