检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
x 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略) 500 √ 用户组 用户组数 20 √ 用户组名的字符数 128 x 一个用户组中可添加的用户数 账号下的IAM用户数 x 一个用户组基于IAM项目可绑定的权限数(包括系统权限和自定义策略) 200 √ 一个用户组
Key)加密调用请求。 Token认证 Token的有效期为24小时,需要使用同一个Token鉴权时,可以缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。
提供商。 后续任务 配置企业IdP:在企业IdP系统中配置单点登录相关参数,决定向华为云提供哪些用户信息。 配置身份转换规则:在“身份转换规则”区域,配置身份转换规则,建立企业管理系统用户与IAM用户组间的映射关系,使得企业管理系统用户登录华为云后,获得对应的华为云操作权限。身份
企业管理华为云上多租户的联邦认证 场景描述 部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security
您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。 敏感操作 IAM提供敏感操作保护功能,包括登录保护和操作保护,在您登录控制台或者进行敏感操作时,系统将要求您进行邮箱/手机/虚拟MFA的验证码的第二次认证,为您的账号和资源提供更高的安全保护。
登录华为云:“IAM用户”登录入口。 企业联邦用户(虚拟IAM用户) 与华为云建立信任关系的第三方系统用户。用户可以使用第三方系统账号登录华为云,类似通过某社交账号登录游戏平台。 创建:账号在IAM创建身份提供商后,拥有第三方系统账号的企业用户登录华为云时,IAM自动创建虚拟IAM用户,即企业联邦用户。了解详情请参考:身份提供商概述
IdP,如果您使用了支持SAML、OIDC的IdP(身份提供商),推荐您通过配置联邦身份认证实现用户使用企业管理系统账号单点登录华为云。 前提条件 企业已有企业管理系统。 企业管理员在华为云上注册了可用的账号(账号名以DomainA为例),并已在IAM中创建用户组(用户组名以GroupC为例)并授予Agent
读取了非本账号的虚拟MFA验证码。 重新绑定虚拟MFA时,未在虚拟MFA设备中重新添加用户。 MFA验证码的生成机制和时间相关,如果手机时间和虚拟MFA设备后台服务的系统时间相差30秒以上,生成的MFA验证码将不能通过校验。 解决方法 请确保输入正确的验证码。 验证码每30秒自动更新一次,请等待更新后再输入连续的两组验证码。
在“登录验证”页面输入虚拟MFA/短信/邮箱验证码进行验证。 关闭该功能后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 管理员关闭IAM用户登录验证 管理员在统一身份认证服务控制台关闭其他IAM用户的登录验证功能 在统一身份认证服务控制台左侧导航窗格中,单击“用户”。
LB、VPC、EVS和OBS,需要为“开发人员组”授予这六个服务的管理员权限。如需查看所有云服务的系统权限,请参见:系统权限。 管理员确定该用户组中的用户所需的权限。 通过查看系统权限,需要设置的权限如表1所示。其中“作用范围”由该服务的物理部署位置决定。对于项目级服务,如果在某
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
查看策略内容 在左侧导航栏选择“用户组”,单击需授权的用户组“操作”列下的“授权”。 给用户组选择策略时,单击策略前面的,可以查看策略的详细内容,以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1
负责安全域运维的团队。 通过表1,给公司中不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。如需了解华为云所有云服务的系统权限,请参见:系统权限。 表1 系统权限 职能团队 需要授予的策略 权限说明 资源总运维 Tenant Administrator 除IAM外,其他所有云资
网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号
AM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
IAM用户可以在基本信息页面修改自己的密码。账号如需修改密码,请参考如何修改密码。 通过邮件地址设置:用户通过邮件中的一次性链接登录控制台时,自行设置密码。 自动生成:系统自动生成随机密码,创建用户成功后可以下载并将新密码发送给用户。 自定义:管理员自定义用户的密码,并将新密码发送给用户。 父主题: IAM用户
管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。 选择角色,系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的,查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administr
%(target)s: %(target_id)s.", "error_code" : "IAM.0004" } 状态码为 500 时: 系统内部异常。 { "error_msg" : "An unexpected error prevented the server from
负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限,包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限,请参见:系统权限。 针对需求3:A公司使用企业管理服务,基于企业项目管理项目续费、订单、财务、退订、变更及配额。详情请参考:管理企业项目的财务信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
