检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
解决方案 针对需求1:当前华为云提供的企业管理服务(EPS)和统一身份认证服务(IAM),均可实现项目之间的资源隔离,但两种服务的实现逻辑及功能不同。 企业管理服务:在企业管理服务中创建企业项目,企业项目之间的资源是逻辑隔离,针对企业不同项目间的资源进行分组和管理,一个企业项
IAM用户SSO类型的单点登录,华为云必须要为企业IdP用户对应的IAM用户配置外部身份ID。外部身份ID值要与企业IdP的IAM_SAML_Attributes_xUserId值保持一致。您可以在IAM用户创建时配置外部身份ID,或者直接修改现有IAM用户的外部身份ID: 创建IAM用户并设置外部身份ID
SDK)访问华为云时的身份凭证,不用于登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoi
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资
如果您需要针对统一身份认证服务,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用IAM进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对资源的访问范围。例如
加权限。 建议IAM管理员设置密码策略,例如密码最小长度、密码中同一字符连续出现的最大次数、密码不能与历史密码相同,保证用户在修改密码时,新密码都是满足密码策略的复杂程度高的强密码。 如果您的华为云账号已升级为华为账号,密码策略将对账号不生效。 密码设置策略 图1 密码设置策略
当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2 修改操作保护 在右侧弹出的“操作保护设置”页面中,选择
of与empty条件不同,这两个条件返回的是一个布尔值,该值不能用于填充local中的占位符。所以以下示例中,仅有一个占位符“{0}”用于被remote块中的第一个Empty条件填充,第二个group为一个固定的值admin。 以下示例表示联邦用户在IAM中的用户名为“remote”的第一个属性,即Us
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色
证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2
IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。 为IAM用户配置基于SAML协议的虚拟用户SSO时,“外部身份ID”为必选参数(不超过128个字符)。 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。 当用户忘记密
该权限所依赖的权限。 Statement Array of objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可
如果当前IAM用户的访问模式为编程访问或编程访问和管理控制台访问,取消编程访问可能会使IAM用户无法访问华为云服务,请谨慎修改。 描述:修改IAM用户的描述信息。 外部身份ID:IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。 所属用户组
GES为例:将操作权限委托给GES,允许GES以您的身份使用其他服务,例如发生故障转移时,GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。 图1 云服务委托 在云服务控制台使用某项资源时,系统提示您自动创建委托,以完成云服务间的协同工作。 以创建弹性文件服务SFS委托为例:
托权限的用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。
单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。
以B账号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。
如果您给IAM用户授予“OBS ReadOnlyAccess”权限,但不希望部分用户查看指定OBS资源(例如,不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶),可以再创建一条自定义策略来指定特定的资源,并将自定义策略的Effect设置为Deny,然后将OBS
IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。 links Object IAM用户的资源链接信息。 表7 user.links 参数 参数类型 描述 self String 资源链接地址。 请求示例 管理员修改名为“IAMUser”的IAM用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
