检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取委托Token 功能介绍 该接口可以用于获取委托方的token。 例如:A账号希望B账号管理自己的某些资源,所以A账号创建了委托给B账号,则A账号为委托方,B账号为被委托方。那么B账号可以通过该接口获取委托token。B账号仅能使用该token管理A账号的委托资源,不能管理自己账号中的资源
约束与限制 本节介绍IAM在使用过程中的约束和限制。 配额 查看每个配额项目支持的默认配额,请参考怎样查看我的配额,登录控制台查询您的配额详情。如果需要扩大配额,可以提交工单申请提升配额。 表1 配额 资源分类 限制项 默认配额限制 是否支持调整 用户 IAM用户数 50 是 提交工单申请提升配额
开通云审计服务 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件,例如创建用户
敏感操作 只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 联邦用户在执行敏感操作时,不需要进行身份验证。 虚拟MFA 虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备
获取联邦认证scoped token 功能介绍 该接口可以用于通过联邦认证方式获取scoped token。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口
创建云服务自定义策略 功能介绍 该接口可以用于管理员创建云服务自定义策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0
获取IAM用户Token(使用密码+虚拟MFA) 功能介绍 该接口可以用于通过用户名/密码+虚拟MFA的方式进行认证,在IAM用户开启了的登录保护功能,并选择通过虚拟MFA验证时获取IAM用户Token。Token是系统颁发给用户的访问令牌,承载用户的身份、权限等信息。调用IAM以及其他云服务的接口时
修改云服务自定义策略 功能介绍 该接口可以用于管理员修改云服务自定义策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PATCH /v3.0
创建自定义策略 如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略: 可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务
修改委托自定义策略 功能介绍 该接口可以用于管理员修改委托自定义策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PATCH /v3.0/
创建委托自定义策略 功能介绍 该接口可以用于管理员创建委托自定义策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-ROLE
绑定MFA设备 功能介绍 该接口可以用于IAM用户为自己绑定MFA设备。启用MFA后不影响已获取Token的有效性,同时无法强制忽略MFA的二次认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。
如何绑定虚拟MFA设备 Multi-Factor Authentication (MFA) 是一种非常简单的安全实践方法,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素
查询自定义策略详情 功能介绍 该接口可以用于管理员查询自定义策略详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-ROLE
查询自定义策略列表 功能介绍 该接口可以用于管理员查询自定义策略列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-ROLE
修改账号接口访问策略 功能介绍 该接口可以用于管理员修改账号接口访问策略,策略修改后将对账号下所有IAM用户和联邦用户(SP方式)生效。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API
修改账号控制台访问策略 功能介绍 该接口可以用于管理员修改账号控制台访问策略,策略修改后将对账号下所有IAM用户和联邦用户(SP方式)生效。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API
通过IAM对多运维人员进行权限设置 方案概述 A公司在华为云中购买了多种资源,公司中有多个职能团队,这些职能团队需要使用一种或者多种资源,因此涉及到多运维人员权限设置需求,通过IAM的权限管理功能可以实现该需求。 资源规划 根据A公司中员工所负责的不同职能,将员工划分为以下七个团队
使用token方式配置自定义身份代理配置步骤 如果您的企业IdP不支持SAML、OIDC协议,可以使用自定义身份代理,通过编写代码获得华为云登录链接,使企业用户通过企业IdP验证身份后,即可登录华为云。 自定义身份代理适用于不支持SAML、OIDC的企业IdP,如果您使用了支持SAML
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
