检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
统颁发给自定义身份代理用户的登录票据,承载用户的身份、session等信息。调用自定义身份代理URL登录云服务控制台时,可以使用本接口获取的logintoken进行认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
自定义身份代理 使用委托方式配置自定义身份代理配置步骤 使用委托方式创建云服务登录地址 使用token方式配置自定义身份代理配置步骤 使用token方式创建云服务登录地址
自定义身份代理 获取自定义身份代理登录票据 父主题: API
企业本地用户登录企业管理系统后,访问企业IdP的自定义代理,从委托列表(由安全管理员来查询租户的委托列表,根用户默认为安全管理员)中选择所需要使用的委托,具体方法请参见企业管理系统帮助文档。 自定义代理的委托列表是企业IdP创建的用户组名称与华为云创建的委托名称的交集。 企业IdP自定义代理根据
选择可访问的资源范围,不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托,一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后,就获得了委托权限。此时,ECS实例上运行的应用程序可获取委托的临时访问密钥A
理员选择2中配置的用户UserB为例。 自定义代理的用户列表是在华为账号下的IAM用户列表,将IAM用户的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,即可将这些用户按需赋予不同企业用户。 企业IdP自定义代理携带IAM用户UserB的token调用API(POST
查询服务列表 功能介绍 该接口可以用于查询服务列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/services 表1 Query参数
logintoken是系统颁发给自定义代理用户的登录票据,承载用户的身份、session等信息。 调用自定义代理URL登录云服务控制台时,可以使用本接口获取的logintoken进行认证。 自定义代理登录票据logintoken的有效期默认为600秒,即10分钟,取值范围为10
移除委托的全局服务权限 功能介绍 该接口可以用于管理员移除委托的全局服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3
企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则
最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操
托列表进行查看创建成功的委托。此时的委托将不包含任何权限。 在授权的确认弹窗中,单击“立即授权”。 勾选需要授予委托的权限,单击“下一步”,选择权限的作用范围。 给委托授权即给其他账号授权,给用户组授权即给账号中的IAM用户授权,两者操作方法相同,仅可选择的权限个数不同,授权操作请参见:给用户组授权。
下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。 华为云IAM作为基础身份认证服务,已面向全球用户服务,并在多个分区部署,具有更高的可用性、容错性和可扩展性。分区部署详情参见IAM可用分区。
等,您的团队或应用程序需要使用您在华为云中的资源,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户,并授予IAM用户刚好能完成工作所需的权限,新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时,避免分享账号的密码。
返回用户组列表,创建成功的用户组“开发人员组”将会展示在用户组列表中。 步骤二:给用户组授权 A公司的开发人员需要使用的云服务为ECS和OBS,需要为“开发人员组”授予这两个服务的管理员权限。如需查看所有云服务的系统权限,请参见:系统权限。 管理员确定该用户组中的用户所需的权限。 通过查看
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
该权限所依赖的权限。 Statement Array of objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可
号分配,使用资源产生的费用由账号支付,按照账号授予的权限使用资源。 账号与IAM用户可以类比为父子关系。 您可以通过华为账号、华为云账号、华为企业合作伙伴账号登录华为云,以账号的身份使用拥有的资源和云服务。 如果您是账号创建的IAM用户或与华为云建立信任关系的第三方系统用户,可以
解决方案:OBS服务暂不支持API访问控制策略,如需限制,请参考限制指定IP地址对桶的访问权限。 若您的使用场景不属于以上任意一种,请尝试重新修改API访问策略并应用,如果未生效,请提交工单(选择“统一身份认证服务>账号安全设置类”并注明为“API访问控制”),或拨打免费客服电话4000-955-988反馈,客服人员会尽快为您处理。
角色:角色是IAM最初提供的一种粗粒度的授权能力,当前有部分云服务不支持基于角色的授权。 角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
