检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基于策略的授权是一种更加灵活地授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项,称为系统策略。管理员给用户组授权时,可以直接
使用联邦身份认证前,管理员需要在企业管理系统和华为云分别为用户创建账号。 使用联邦身份认证后,企业管理员只需要在企业管理系统中为用户创建账号,用户即可同时访问两个系统,降低了人员管理成本。 用户操作方便 使用联邦身份认证前,用户访问企业管理系统和华为云时需要使用两个系统的账号登录。 使
ken,建议您为自己创建一个IAM用户,授予该用户必要的权限,获取IAM用户Token。 如果您是第三方系统用户,直接使用联邦认证的用户名和密码获取Token,系统会提示密码错误。请先在华为云的登录页面,通过“忘记密码”功能,设置华为云账号密码。 前提条件 已安装并注册Postman。
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID 获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角,单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界
SP initiated方式 Openstack和Shibboleth是被广泛使用的一套开源联邦身份认证解决方案,提供了强大的单点登录能力,将用户连接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。
查询租户授权信息 功能介绍 该接口用于查询指定账号中的授权记录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-PE
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。
/*CreateTemporaryAccessKeyByToken 调用通过token获取临时访问密钥和securitytoken接口获取具有临时身份的访问密钥和securitytoken。 访问密钥和securitytoken的默认有效期为900秒,即15分钟,取值范围为15分钟-24小时
管理员创建IAM用户(推荐) POST /v3.0/OS-USER/users iam:users:createUser - - 查询用户详情(包含邮箱和手机号码) GET /v3.0/OS-USER/users/{user_id} iam:users:getUser - - 查询IAM用户详情
在企业IdP中配置华为云的元数据文件,以建立企业IdP对华为云的信任。常用企业IdP,如Microsoft Active Directory(AD FS)和Shibboleth的配置步骤,请参见:与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件(metadata文件)。 访问网址:https://auth
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。
可能原因:管理员同时在IAM和企业管理给用户授权,基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理,如IAM用户同时拥有所有资源的ECS ReadOnlyAccess、企业项目A的ECS ReadOnlyAccess权限,用户可以查看所有ECS资源。 解决方法:请管理员根据情况在IAM控制台修改用户权限。
XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy
[ "ecs:*:get*", "ecs:*:list*", "ecs:blockDevice:use", "ecs:serverGroups:manage"
"Statement" : [ { "Action" : [ "ecs:*:get*", "ecs:*:list*", "ecs:blockDevice:use", "ecs:serverGroups:manage", "ecs:serverVolumes:use", "evs:*:get*"
返回用户组列表,创建成功的用户组“开发人员组”将会展示在用户组列表中。 步骤二:给用户组授权 A公司的开发人员需要使用的云服务为ECS、RDS、ELB、VPC、EVS和OBS,需要为“开发人员组”授予这六个服务的管理员权限。如需查看所有云服务的系统权限,请参见:系统权限。 管理员确定该用户组中的用户所需的权限。
在企业IdP中配置华为云的元数据文件,以建立企业IdP对华为云的信任。常用企业IdP,如Microsoft Active Directory(AD FS)和Shibboleth的配置步骤,请参见:与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件(metadata文件)。 访问网址:https://auth
XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy
XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy
XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA,不能在domain层和project层都显示(AA),或者在domain层和project层都不显示(XX)。 policy