检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户组及权限管理类 找不到特定服务的IAM权限怎么办 IAM权限没有生效怎么办 IAM用户访问IAM控制台时提示没有权限怎么办 如何授予IAM用户不能支付订单、可以提交订单权限
资源,包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目,IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目,将不支持基于企业项目授权,了解企业项目请参考:什么是企业项目管理。如需开通,请参考:开通企业项目。 指定区域项目资源
、用户组、区域、委托的名称和ID。 scope.enterprise_projects_id 否 String 授权的企业项目ID,获取方式请参见:如何获取企业项目ID。 is_inherited 否 Boolean 是否包含基于所有项目授权的记录,默认为false。当参数scope=domain或者scope
密钥定期自动化轮换 场景描述 企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 本章节指导用户如何使用API调用的方式轮换访问密钥,您可进一步通过编程手段完成定期自动轮换工作。 前提条件
调整配额 什么是配额? 为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM用户、用户组等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。
源、生成访问密钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,
管理员重置虚拟MFA,管理员的操作步骤如下所示。 A公司管理员进入华为云“控制台”。 图2 进入控制台 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。 登录统一身份认证服务控制台。 在“统一身份认证服务>用户”页签中的用户列表中,单击用户右侧的“安全设置”。
名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。AK/SK认证的详细说明请参见:AK/SK认证。 对于获取IAM用户Token(使用密码)接口,由于不需要认证,所以只添加“Content-Type”即可,添加消息头后的请求如下所示。
运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互,交互行为遵循账号授予的权限策略和资源使用范围。 图2 ECS委托 操作流程 图3 ECS委托操作流程 实施步骤 如图3所示,配置ECS弹性云服务器委托分为创建ECS云服务委托、EC
IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能
使用委托方式创建云服务登录地址 该章节提供使用委托方式创建登录华为云云服务的联邦代理登录地址的示例代码。 Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java SDK)开发。 import
assigment_agency_mp:一个委托可绑定的权限配额 assigment_group_ep:一个用户组基于企业项目可绑定的权限配额 assigment_user_ep:一个用户基于企业项目可绑定的权限配额 mapping:账号中所有身份提供商映射规则配额 请求参数 表3 请求Header参数
cket:*表示任意OBS桶。 指定对象资源: 【格式】OBS:*:*:object:桶名称/对象名称 对于对象资源,IAM自动生成资源路径前缀“obs:*:*:object:”。通过桶名称/对象名称指定具体的资源路径,支持通配符*。例如:obs:*:*:object:my-bu
控制台界面进行身份认证 接收消息 是 否 手机号 在创建用户、修改用户凭证、修改手机时由用户在界面输入手机号 标识用户身份 控制台界面进行身份认证 接收消息 是 否 AK(Access Key ID)/SK(Secret Access Key) 在“我的凭证”页面或者在“统一身份认证>用户>
拟MFA。 虚拟MFA设备是能产生6位数字认证码的应用程序,遵循基于时间的一次性密码 (TOTP)标准。此类应用程序可在移动硬件设备(包括智能手机)上运行,非常方便。 前提条件 用户需要先在智能设备上安装一个MFA应用程序(例如:华为云App、 Google Authenticator),才能绑定虚拟MFA设备。
委托其他云服务管理资源 由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。 当前IAM提供两种创建委托方式: 在IAM控制台创建云服务委托 以图引擎服务
操作员验证”或修改指定人员手机号/邮件地址,请参考:•当前验证方式为“指定人员验证”。 操作步骤 当前验证方式为“操作员验证” A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,
预埋字段,当前无实际意义,返回null。 links Object 区域的资源链接信息。 locales Object 区域名,受区域信息注册影响,不一定返回对象中所有字段。 id String 区域ID。 type String 区域类型。 表5 region.links 参数 参数类型 描述 self
调用说明 统一身份认证服务提供了REST(Representational State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 同时统一身份认证服务还提供多种编程语言的SDK供您使用,SDK的使用方法请参见SDK中心。 父主题:
IAM用户仍然可以通过API访问华为云。 解决方法 可能原因:您已设置的API访问控制策略暂未生效。 解决方法:API访问控制策略应用后,将在2小时内生效,请耐心等待。 可能原因:API访问控制功能在对象存储服务(OBS)不生效。 解决方案:OBS服务暂不支持API访问控制策略,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
