检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
授权方法请参见给IAM用户授权。 选择“服务列表 > 管理与监管 > 云审计服务”,进入云审计服务授权页面。 单击“同意授权并开通”,进入云审计服务页面。 后续使用云审计服务,仅需拥有云审计服务相关权限即可,无需拥有Security Administrator权限。 同意授权并开通CTS服
服务中的“CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后,CTS开始记录操作事件用于审计,开通方法参见开通云审计服务。开通云审计服务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操
记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件,您需要在旧版事件列表查看数据类审计事件。 在新版事件列表查看审计事件 登录管理控制台。 单击左上角,选择“管理与监管 > 云审计服务 CTS”,进入云审计服务页面。 单击左侧导航树的“事件列表”,进入事件列表信息页面。
户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM ReadOnlyAccess(推荐)或Security Administrator权限。 总体思路 对IAM用户的权限进行安全审计,步骤如下: 查询用户组列表;
安全 责任共担 身份认证与访问控制 数据保护技术 服务韧性 审计与监控 认证证书
敏感操作 只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。 联邦用户在执行敏感操作时,不需要进行身份验证。 虚拟MFA 虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码
查看IAM操作记录 开通云审计服务 在CTS事件列表查看云审计事件
配置访问方式 表4 访问方式 访问方式 说明 取值样例 编程访问 为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问云服务。 勾选 管理控制台访问 为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。 勾选 如果IA
但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云审计服务,可以对其他所有服务执行所有操作。 以下策略样例表示:拒绝IAM用户使用云审计服务。 {
用程序。 开通云审计服务 您可以通过云审计服务(Cloud Trace Service,CTS)对IAM的关键操作事件进行收集、存储和查询,用于安全分析、合规审计、资源跟踪和问题定位等。为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议您开启云审计服务。
Administrator”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。 推荐您在使用IAM前,开通云审计服务CTS,方便查看、审计以及回溯IAM的关键操作记录。详情请参考:开通云审计服务。 如何进入IAM控制台 登录华为云,在右上角单击“控制台”。 图1 进入控制台 在控制台页面,
快速入门 密钥定期自动化轮换 企业管理华为云上多租户的联邦认证 对IAM用户的权限进行安全审计
常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限
IAM支持两种形式的联邦身份认证: 浏览器页面单点登录(Web SSO):浏览器作为通讯媒介,适用于普通用户通过浏览器访问华为云。 调用API接口:开发工具/应用程序作为通讯媒介,例如OpenStack Client、ShibbolethECP Client,适用于企业或用户通过API调用方式访问华为云。
支持IAM资源粒度授权的云服务 如果您需要授予IAM用户特定资源的相应权限,可以创建自定义策略并选择特定资源,该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时,选择资源类型并添加资源路径:OBS:*:*:bucket:TestBucket*,即可授予IAM用户以TestBucket命名开头的桶相应权限。
编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问华为云。 如果您需要使用SSO方式访问华为云,应该选择此方式。 编程访问 用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 在修改身份提供商页面,填写“配置信息”。
如何通过Postman获取用户Token Postman是网页调试与辅助接口调用的工具,具有界面简洁清晰、操作方便快捷的特性,可以处理用户发送的HTTP请求,例如:GET,PUT、POST,DELETE等,支持用户修改HTTP请求中的参数并返回响应数据。 Token是用户的访问令
Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java SDK)开发。 import java.net.URLEncoder; import java.util.Collections;
细粒度策略 企业项目 统一身份认证服务 IAM 全局区域 √ √ x √ x 云监控服务 CES 除全局区域外的其他区域 √ √ x √ √ 云审计服务 CTS 除全局区域外的其他区域 √ √ x x x 应用性能管理 APM 除全局区域外的其他区域 √ √ x √ √ 应用运维管理 AOM
SP initiated方式 Openstack和Shibboleth是被广泛使用的一套开源联邦身份认证解决方案,提供了强大的单点登录能力,将用户连接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
