检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
委托其他云服务管理资源 由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
数据传输安全 用户个人敏感数据(包括密码)将通过TLS 1.2进行传输中加密,所有华为云IAM的API调用都支持 HTTPS 来对传输中的数据进行加密。 父主题: 数据保护技术
账号停用策略 如果IAM用户在设置的有效期内没有通过界面控制台或者API访问华为云,再次登录时将会被停用。 账号停用策略默认关闭,管理员可以选择开启,并在1~240天之间进行设置。 该策略仅对账号下的IAM用户生效,对账号本身不生效。IAM用户被停用后,可以联系管理员重新启用。
使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。登录方法,请参见:IAM用户登录。 在控制台页面,右上方的用户名中,选择“切换角色”。 图1 切换角色 在“切换角色”页面中,输入委托方的账号名称,输入账号名称后,系统将会按照顺序自动匹配委托名称。
last_project_id String IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。 links Object IAM用户的资源链接信息。
如果选择该类型,请确保您已在华为云创建IAM用户。 默认配置为virtual_user_sso类型,同一个账号下两种类型不能同时存在,且iam_user_sso最多只能创建一个。 description 否 String 身份提供商描述信息。
last_project_id String IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。 pwd_strength String IAM用户的密码强度。high:密码强度高;mid:密码强度中等;low:密码强度低。
拥有IAM使用权限的对象为: 账号:账号可以使用所有服务,包括IAM。 admin用户组中的用户:IAM默认用户组admin中的用户,可以使用所有服务,包括IAM。
密钥定期自动化轮换 场景描述 企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 本章节指导用户如何使用API调用的方式轮换访问密钥,您可进一步通过编程手段完成定期自动轮换工作。
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。
主体类型:授权对象类型,可以选择用户、用户组、委托3种。 项目区域:IAM项目或区域。如果您在企业项目视图下,选择“项目区域”为过滤条件,并选择指定项目,将自动切换至IAM项目视图。 父主题: 权限管理
表2 请求Body参数 参数 是否必选 参数类型 描述 role_assignments 是 Array of objects 委托在企业项目上的绑定关系,最多支持250条。
“Client4ShibbolethIdP”脚本模拟用户在浏览器上登录企业IdP系统,通过呈现浏览器提交的表单数据和客户端实现的对比,帮助用户开发本企业IdP系统的客户端脚本。 前提条件 企业IdP服务器支持IdP Initiated方式的联邦认证。
locales Object 区域名,受区域信息注册影响,不一定返回对象中所有字段。 id String 区域ID。 type String 区域类型。 表5 regions.links 参数 参数类型 描述 self String 资源链接地址。
OBS Operator OBS OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess
说明: 以请求示例中的Condition为例:条件键(obs:prefix)和字符串(public)需相等(StringEquals)。
说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请分别创建作用范围为全局服务、区域级项目,其他参数相同的2个自定义策略,并将2个策略同时授予用户组。
project object 项目详情,仅请求scope为project时,返回此对象。 roles Array of objects 角色/策略详情。 catalog Array of objects catalog详情。
取值范围: Allow Deny Resource Object 委托资源,仅在请求中传递此字段,才会返回此对象。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
