-
策略鉴权规则 - 统一身份认证服务 IAM
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没
-
登录华为云 - 统一身份认证服务 IAM
原华为云账号名/租户名:创建身份提供商的华为云账号名称。如果不知道账号名,请向管理员获取。 身份提供商名称:管理员创建身份提供商时,设置的名称。如果不知道身份提供商名称,请向管理员获取。 单击“前往登录”,跳转至企业管理系统登录页面。 在企业管理系统登录页面,输入企业管理系统用户名、密码。 单击“登录”,登录华为云。
-
步骤1:创建用户组并授权 - 统一身份认证服务 IAM
A公司的团队分为管理组(admin)、开发人员组和测试人员组。由于系统默认内置了admin组,用于拥有账号所有资源的使用及管理权限,因此A公司的团队只需要在IAM中再创建开发人员组及测试人员组即可。 创建用户组 A公司管理员,使用注册的华为账号开通并登录华为云。 图1 登录华为云 进入华为云“控制台”。
-
(可选)分配委托权限(被委托方操作) - 统一身份认证服务 IAM
身以及admin用户组中的成员)可以管理委托资源,如果您需要普通IAM用户帮助您管理委托,可以将管理委托的权限分配给IAM用户。 如果您有多个委托关系,可以授予IAM用户较大的委托权限,即管理所有的委托,也可以授予IAM用户精细的权限,仅管理指定的委托,即IAM用户进行角色切换时
-
创建自定义策略 - 统一身份认证服务 IAM
根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 本节为您介绍在“权限管理>权限”页面创建自定义策略。您还可以在授权过程中创建自定义策略,如图1所示,管理员无需取消正在进行的授权操作,创建自定义策略完成后可继续完成授权。 图1 授权过程中创建策略 可视化视图配置自定义策略
-
删除委托 - 统一身份认证服务 IAM
功能介绍 该接口可以用于管理员删除委托。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3.0/OS-AGENCY/agencies/{agency_id}
-
策略内容 - 统一身份认证服务 IAM
策略内容 给用户组选择策略时,单击策略前面的,可以查看策略的详细内容,以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [
-
映射 - 统一身份认证服务 IAM
映射 查询映射列表 查询映射详情 注册映射 更新映射 删除映射 父主题: 联邦身份认证管理
-
修改委托 - 统一身份认证服务 IAM
修改委托 功能介绍 该接口可以用于管理员修改委托。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT /v3.0/OS-AGENCY/agencies/{agency_id}
-
创建用户组并授权 - 统一身份认证服务 IAM
Administrator 费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明: 授权时,需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源
-
权限基本概念 - 统一身份认证服务 IAM
例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常用授权项,称为系统策略。管理员给用户组授权时,可以直接使用这些系统策略,系统策略只能使用,不能修改。
-
账号登录失败怎么办 - 统一身份认证服务 IAM
邮件地址、华为账号名、华为云账号名登录。“华为云账号登录”方式登录时,支持使用华为云账号名、邮件地址登录。 如果您已注册华为账号,请输入华为账号绑定的手机号/邮件地址/华为账号名登录华为云,详情请参考:华为账号登录华为云。 如果您未注册华为账号、已注册华为云账号,且华为云账号暂未
-
查询委托详情 - 统一身份认证服务 IAM
功能介绍 该接口可以用于管理员查询委托详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-AGENCY/agencies/{agency_id}
-
为用户组授予全局服务权限 - 统一身份认证服务 IAM
为用户组授予全局服务权限 功能介绍 该接口可以用于管理员为用户组授予全局服务权限。权限作用范围请参见:系统权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
-
为用户组授予项目服务权限 - 统一身份认证服务 IAM
为用户组授予项目服务权限 功能介绍 该接口可以用于管理员为用户组授予项目服务权限。权限作用范围请参见:系统权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
-
使用委托方式配置自定义身份代理配置步骤 - 统一身份认证服务 IAM
组,授予其自定义代理登录华为云时所需权限,具体方法请参见企业IdP帮助文档。 企业本地用户登录企业管理系统后,访问企业IdP的自定义代理,从委托列表(由安全管理员来查询租户的委托列表,根用户默认为安全管理员)中选择所需要使用的委托,具体方法请参见企业管理系统帮助文档。 自定义代理
-
查询权限详情 - 统一身份认证服务 IAM
查询权限详情 功能介绍 该接口可以用于管理员查询权限详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/roles/{role_id}
-
更新协议 - 统一身份认证服务 IAM
更新协议 功能介绍 该接口可以用于管理员更新协议。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PATCH /v3/OS-FEDERATION/i
-
切换角色(被委托方操作) - 统一身份认证服务 IAM
换角色至委托方账号中,根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。 鼠标
-
实践场景 - 统一身份认证服务 IAM
综上,企业管理服务能够实现项目间跨区域的资源隔离,隔离逻辑更加灵活,因此,推荐A公司使用企业管理服务进行项目资源管理,以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别,请参见:统一身份认证和企业管理的区别。 针对需求2:A公司需要配合使用企业管理服务和