检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对资源的访问范围。
委托其他云服务管理资源 由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。
由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。
操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。 鼠标移动至右上方的用户名,选择“切换角色”。 图1 切换角色 在“切换角色”页面中,输入委托方的账号名称。
B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中,单击“用户组”。 在“用户组”界面中,单击“创建用户组”。 输入“用户组名称”,例如“委托管理”。 单击“确定”。
如果选择该类型,请确保您已在华为云创建IAM用户。 默认配置为virtual_user_sso类型,同一个账号下两种类型不能同时存在,且iam_user_sso最多只能创建一个。 description 否 String 身份提供商描述信息。
账号停用策略 如果IAM用户在设置的有效期内没有通过界面控制台或者API访问华为云,再次登录时将会被停用。 账号停用策略默认关闭,管理员可以选择开启,并在1~240天之间进行设置。 该策略仅对账号下的IAM用户生效,对账号本身不生效。IAM用户被停用后,可以联系管理员重新启用。
last_project_id String IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。 links Object IAM用户的资源链接信息。
last_project_id String IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。 pwd_strength String IAM用户的密码强度。high:密码强度高;mid:密码强度中等;low:密码强度低。
当认证用户为华为云用户时,该字段内容为“token”,当认证用户为自定义身份代理用户时,该字段内容为“federation_proxy”。 user_id String 用户ID。 user_name String 用户名。 session_id String 会话ID。
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess
删除或修改委托 修改委托 如果需要修改委托的权限、持续时间、描述等,可以在委托列表中,单击委托右侧的“修改”,修改委托。 图1 修改委托 云服务委托支持修改云服务、持续时间、描述、权限,委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用,请谨慎操作。
无法找到特定服务的权限怎么办 问题描述 管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的权限。 可能原因 要设置权限的服务不支持IAM,所以无法选择该服务的权限。IAM支持的服务请参见:使用IAM授权的云服务。 搜索的服务或权限名称不正确。 解决方法 管理员通过给对应云服务提交工单
约束与限制 IAM中的用户数、用户组数等有限定的配额, 其中“是否支持修改”列标示“√”的,表示该限制项可以修改。如果当前资源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何修改配额。 限制分类 限制项 限制值 是否支持修改 用户 IAM用户数 50 √ 用户名的字符数
调用说明 统一身份认证服务提供了REST(Representational State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 同时统一身份认证服务还提供多种编程语言的SDK供您使用,SDK的使用方法请参见SDK中心。 父主题:
IdP initiated方式 本章以“Client4ShibbolethIdP”脚本为例,介绍IdP initiated方式获取联邦认证Token的方法。“Client4ShibbolethIdP”脚本模拟用户在浏览器上登录企业IdP系统,通过呈现浏览器提交的表单数据和客户端实现的对比
SDK概述 本文介绍了IAM服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看SDK
查看授权记录 如果您需要查看当前账号下的所有授权关系,可以进入“权限管理>授权管理”页面。IAM权限管理为您呈现账号中的所有授权关系,支持使用“策略名”、“用户名/用户组名/委托名”、“项目区域”、“企业项目(已开启企业项目)”“主体类型”为过滤条件查看指定授权关系。 如果您已开通并使用企业项目
丢失访问密钥AK/SK怎么办 如果您的访问密钥AK/SK已丢失,建议您先创建新的访问密钥AK/SK,并使用新的访问密钥AK/SK替换正在使用的应用程序等的访问密钥AK/SK之后,确认无其他业务影响,再将丢失的访问密钥AK/SK停用或删除。具体方法请参见:管理访问密钥。 每个用户最多可创建
创建自定义策略 如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略: 可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
