检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
务。 示例: "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。 条件键 条件键表示策略语句的 Condition 元素中的键值
设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限 设置虚拟私有云(VPC)的权限 设置分布式缓存服务(DCS)的权限 设置文档数据库服务(DDS)的权限
initiated方式 本章以“Client4ShibbolethIdP”脚本为例,介绍IdP initiated方式获取联邦认证Token的方法。“Client4ShibbolethIdP”脚本模拟用户在浏览器上登录企业IdP系统,通过呈现浏览器提交的表单数据和客户端实现的对比,帮
接到企业内外的各种应用服务。本章介绍通过Openstack Client和ShibbolethECP Client获取联邦认证Token的方法。 流程图 SP initiated联邦认证的流程如下图所示。 图1 流程图(SP initiated方式) 步骤说明 Client调用公有云系统提供的“通过SP
t Explorer 8及以下版本的浏览器,所以出现输入框提示信息(如“最短不能少于5个字符”等提示信息)无法自动消失的情况,可以参照以下方法进行操作。 图1 提示信息无法消失 升级浏览器版本 将Internet Explorer浏览器升级到IE9及以上版本再进行操作。 更换浏览器
(AK),在下载的.csv文件中查看秘密访问密钥(SK)。具体方法请参见:管理访问密钥。 如果您没有登录密码,不能登录控制台,在访问密钥异常丢失或者需要重置时,可以请管理员在IAM中生成您的访问密钥,并发送给您。方法请参见:管理IAM用户的访问密钥。 父主题: 密码凭证类
临时安全凭证的使用方法 临时安全凭证包括临时AK/SK和SecurityToken,临时AK/SK和SecurityToken必须同时使用,临时安全凭证与永久安全凭证的使用方法几乎相同,使用临时安全凭证进行鉴权时,请求头中需要添加“x-security-token”字段,使用方法请参考:API签名指南。
凭证访问云服务,临时AK/SK和securitytoken两者必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-CRED
用新的访问密钥AK/SK替换正在使用的应用程序等的访问密钥AK/SK之后,确认无其他业务影响,再将丢失的访问密钥AK/SK停用或删除。具体方法请参见:管理访问密钥。 每个用户最多可创建2个访问密钥,不支持增加配额。 如果您是IAM用户,请在“安全设置>敏感操作>访问密钥保护”确认所属账号是否开启访问密钥保护。
局服务和所有项目(包括未来创建的项目)。 指定项目(如“cn-north-4”):查看基于默认区域、子项目授权的授权记录。 主体类型:授权对象类型,可以选择用户、用户组、委托3种。IAM项目视图下,可以选择主体类型为“用户组”、“委托”,如果选择“用户”,筛选结果为空。 企业项目
可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。 账号A创建委托。 图1 账号A创建委托 (可选)账号B分配委托权限。 创建用户组并授予用户组管理委托的权限。
凭证访问云服务,临时AK/SK和securitytoken两者必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-CRED
多因素认证 什么是多因素认证 多因素认证是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。
最小化原则。鉴权时,临时AK/SK和securitytoken必须同时使用,请求头中需要添加“x-security-token”字段,使用方法详情请参考:使用临时AK/SK做签名 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
String id_token的值。id_token由企业IdP构建,携带联邦用户身份信息。请参考企业IdP文档了解获取id_token的方法。 表5 GetIdTokenIdScopeBody 参数 是否必选 参数类型 描述 domain 否 object domain scope详情,与project二选一。
要设置权限的服务不支持IAM,所以无法选择该服务的权限。IAM支持的服务请参见:使用IAM授权的云服务。 搜索的服务或权限名称不正确。 解决方法 管理员通过给对应云服务提交工单,申请该服务在IAM预置权限。 请在管理控制台或帮助中心确认服务名称,并在系统权限中查看该服务提供的系统权限。
"Unauthorized" } } 可能原因 账号出现安全异常行为,如多次输入错误密码、账号频繁多地登录等,导致账号被锁定,锁定时间为15分钟。 解决方法 如您误操作,导致账号被锁,请等待15分钟后重新登录,且15分钟内请勿再次登录或输入密码。 如果您忘记了自己的登录密码,可以找回或重置密码。操作请参考忘记密码怎么办。
修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
删除/停用IAM用户。 修改IAM用户密码、访问密钥。 IAM用户权限发生变化(如账号欠费无法访问云服务、申请公测通过、IAM用户权限被修改等)。 解决方法 需要管理员给您授予相应云服务访问权限后,才能获取具有相应权限的Token,并通过鉴权。 调用接口校验Token的有效性进行验证。如果您的
IAM用户访问IAM控制台时,提示没有权限访问。 可能原因 默认情况下,新创建的IAM用户没有任何权限。如未向IAM用户授予IAM服务的相关权限,则无法访问IAM控制台。 解决方法 如果IAM用户希望能够访问IAM控制台并进行相关操作,管理员可以为其授予权限,将其加入用户组,并给用户组授予IAM的相关权限,用户组中的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
