检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Token管理 访问密钥管理 区域管理 项目管理 账号管理 IAM用户管理 用户组管理 权限管理 自定义策略管理 委托管理 企业项目管理 安全设置 联邦身份认证管理 自定义身份代理 版本信息管理 服务和终端节点
修订记录 表1 修订记录 日期 修订记录 2022-05-30 第十八次正式发布。 新增安全章节,介绍IAM云服务的安全性。 2021-12-01 第十七次正式发布。 约束与限制新增身份提供商身份转换规则配额。 2021-11-23 第十六次正式发布。 使用IAM授权的云服务增加企业项目相关说明。
内,则取默认值10分钟。 logintoken有效时间为临时安全凭证securitytoken剩余有效时间与duration_seconds传参的最小值。 为避免duration_seconds传参无效,建议设置临时安全凭证securitytoken具有较长的有效期(15分钟~2
访问凭证按照时效性可分为永久凭证和临时凭证,相较于永久性访问凭证,例如用户名和密码,临时访问密钥因为有效期短且刷新频率高,所以安全性更高。因此,您的应用程序若想要以更安全的方式访问云服务,需要获取临时访问凭证,而IAM的委托功能,则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM
Administrator 容器安全服务的管理员权限 指定区域项目资源 KMS Administrator 数据加密服务的管理员权限 指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限 指定区域项目资源 SES Administrator 安全专家服务的管理员权限
ens)时可以设置logintoken的有效时间,有效时间设置范围为10分钟~12小时。如果传入的值大于临时安全凭证securitytoken剩余的过期时间,则使用临时安全凭证securitytoken剩余的过期时间。 企业IdP自定义代理根据如下规范创建云服务代理登录地址,并作为Location返回给浏览器:
动登录”选项是默认开启的。如果用户根据界面提示确认保存密码后,下次登录华为云时,登录界面的密码输入框会自动联想填充字符,为了确保账号及密码安全,用户可关闭该功能。以Google Chrome浏览器的61.0.3163.100正式版本为例,可以参照以下方法进行操作。 操作步骤 打开Google
户详情参见创建IAM用户。 图1 创建IAM用户 修改现有IAM用户的外部身份ID 管理员在IAM用户列表中,单击用户名,或者单击右侧的“安全设置”,可以查看或修改IAM用户外部身份ID。 图2 修改IAM用户外部身份ID 父主题: 基于SAML协议的IAM用户SSO
创建、修改、删除用户组、给用户组授权。 创建、修改、删除自定义策略。 创建、修改项目。 创建、修改、删除委托。 创建、修改、删除身份提供商。 设置账号安全策略。 父主题: 密码凭证类
如何通过API Explorer获取用户Token API Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用
调整配额 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM用户、用户组等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
华为云与企业进行联邦认证登录时,华为云是服务提供商(SP),企业自有的身份管理系统是身份提供商(IdP),通过基于SAML协议的单点登录,企业员工在登录以后,将跳转至华为云平台,以IAM用户的方式访问华为云。 本节为您介绍企业IdP与华为云,基于SAML协议进行IAM用户SSO联邦认证的内部实现流程和配置步骤,以及常用的企业IdP与华为云对接示例。
出于管理成本考虑,您不希望在云平台创建和管理IAM用户,从而避免用户同步带来的工作量。 您希望根据用户在本地企业IdP中加入的组或者用户的某个特殊属性,来区分云上拥有的权限。当企业Idp用户进行权限调整时,只需要在本地进行分组或属性的更改,即可同步到云平台。 您的各个分支机构存在多个
FullAccess 对象存储服务(OBS)的所有执行权限。 ELB FullAccess 弹性负载均衡(ELB)的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器(ECS)的普通操作权限。 CAD Administrator D
解决方法:请登录时忽略升级提示,选择暂不升级,并通过华为云账号登录。 可能原因:您已注册的华为账号已冻结。 解决方法:请在“华为账号网站>安全中心>解冻账号”解冻账号后,重新升级。 可能原因:您从电信运营商购买了回收后再次售卖的手机号码,之前曾有人用该号码注册了华为账号。 解决方
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM
SSO。 SAML 2.0 安全断言标记语言(Security Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商
除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 不开启:创建完成后,如需开启登录保护,请参见:登录保护。
用户组权限、委托。 商用 批量修改IAM用户 批量删除IAM用户、用户组、用户组权限、委托 2 IAM安全性介绍 整体介绍IAM的个人数据保护和访问控制等安全特性。 商用 安全性 2022年3月 序号 功能名称 功能描述 阶段 相关文档 1 支持创建IAM实体用户类型的身份提供商
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
