检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
可用区(AZ,Availability Zone) AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置,用
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的
Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证。大量业内云上安全事件表明,访问密钥的泄漏可导致黑客利用访问密钥控制该账号进行退订、删除云上资源等操作,从而破坏云上业务的正常运行,甚至可能导致账号敏感数据的泄漏等严重安全问题。当华为云检测到您的访问密钥可能存在泄漏风险时,经
Query参数 参数 是否必选 参数类型 描述 page 否 Integer 分页查询时数据的页数,查询值最小为1。需要与per_page同时存在。 per_page 否 Integer 分页查询时每页的数据个数,取值范围为[1,300]。需要与page同时存在。 请求参数 表2 请求Header参数
您已设置API访问控制策略,但是不满足策略要求的IAM用户仍然可以通过API访问华为云。 解决方法 可能原因:您已设置的API访问控制策略暂未生效。 解决方法:API访问控制策略应用后,将在2小时内生效,请耐心等待。 可能原因:API访问控制功能在对象存储服务(OBS)不生效。 解决方案:OBS服务暂不支持A
安全性设计,目的是保护用户数据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份
修改IAM用户密码、访问密钥。 IAM用户权限发生变化(如账号欠费无法访问云服务、申请公测通过、IAM用户权限被修改等)。 非华为云账号获取Token 如果您的华为云账号已升级为华为账号,将不支持获取账号Token,建议您为自己创建一个IAM用户,授予该用户必要的权限,获取IAM用户Token。
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目
访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 选择“凭证类型”。 图4 选择凭证类型 表3 配置凭证类型 凭证类型 说明 访问密钥 创建
false:仅查询基于IAM用户授权的记录。 page 否 Integer 分页查询时数据的页数,查询值最小为1。需要与per_page同时存在。 per_page 否 Integer 分页查询时每页的数据个数,取值范围为[1,50],需要与page同时存在。 请求参数 表2 请求Header参数
制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 授予最小权限 最小权限原则是标准的安全建议,您可以使用IAM提供的系统权限,或者自己创建自定义策略,给账号中的用户仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制用户对华为云资源的访问。
通过设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统数据的安全性。 最终一致性 最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。
传华为云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。 在华为云配置身份转换规则:通过配置身份转换规则,明确企业IdP用户登录华为云后的身份和权限,例如登录华为云后的用户名、加入的用户组和拥有的访问权限。
如图1所示,以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证,所以应用程序需要获得委托的临时访问密钥AK、SK。应用程序与ECS元数据服务通信,ECS元数据服务再与IAM通信,拿到临时AK、SK后返回给应用程序。然后,应用程序将临时AK、SK作为访问凭证出示给数据库服务,数
联邦认证的双方需首先建立互信关系,双方交换元数据文件,在企业IdP中上传华为云元数据文件,在华为云上传企业IdP的元数据文件。 图2 交换Metadata文件模型 配置企业IdP:配置企业IdP参数,规定在交互过程中,企业IdP向华为云发送哪些信息。 配置外部身份ID:配置外部身
如果您是第三方系统用户,直接使用联邦认证的用户名和密码获取Token,系统会提示密码错误。请先在华为云的登录页面,通过“忘记密码”功能,设置华为云账号密码。 前提条件 已注册并登录华为云账号。 操作步骤 进入API Explorer平台获取IAM用户Token接口。 选择Region
问华为云。如果登录失败,可以联系管理员重置密码。 在登录页面,单击登录下方的“IAM用户”,在“IAM用户登录”页面,输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“IAM用户密码”。 图6 IAM用户登录 表4 登录信息 参数 示例 说明 租户名/原华为云账号名 Company-A
Client对SAML Response进行重新封装后转发SAML Response给公有云。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 Openstack Client 统一命令行客户端工具的安装需要使用root权限,以下配置Openstack
访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 如果当前IAM用户的访问模式为编程访问或编程访问和管理控制台访问,取消编程访问可能会使IAM用户无法访问华为云服务,请谨慎修改。
Services建立与华为云的联合认证 身份提供商 使用keycloak建立与华为云的联邦身份认证 身份提供商 使用Shibboleth IdP建立与华为云的联合认证 智能客服 您好!我是有问必答知识渊博的的智能问答机器人,有问题欢迎随时求助哦! 社区求助 华为云社区是华为云用户的聚集地。这
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
