检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色一并授予该用户或用户组,保证权限生效。具体请参见:依赖角色的授权方法。
所有用户均可通过控制台入口进入“安全设置”。 登录华为云,在右上角单击“控制台”。 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 图1 进入安全设置 管理员可通过IAM控制台进入“安全设置”。 登录华为云,在右上角单击“控制台”。 在控制台页面,鼠标移
使用步骤3创建的用户,使用“IAM用户登录”方式,登录华为云。登录方法,请参见:IAM用户登录。 在控制台页面,右上方的用户名中,选择“切换角色”。 图1 切换角色 在“切换角色”页面中,输入委托方的账号名称,输入账号名称后,系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托,系统将提示没有权限访问
身份认证 华为云IAM服务要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。 身份凭证及其安全性 IAM服务支持通过账号和IAM用户两种身份访问,并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。详见表1,每一种身份凭证
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没
Smith不生效,不允许John Smith访问华为云。 {UserName: John Smith} {Groups: [idp_user, idp_agency]} 含有正则表达式的条件示例 您可以在条件里指定一个“"regex": true”用来表示华为云将以正则匹配的方式来计算结果。
委托方登录华为云。 访问网址:API Explorer-为委托授予所有项目服务权限,进入API Explorer接口运行调试平台。 获取并编辑接口调试参数。 Region 调用API的区域。选择任一区域。 Headers X-Auth-Token:委托方Token。登录华为云后已自动获取,无需编辑。
Internet Explorer浏览器下输入框提示信息无法自动消失怎么办 当用户进行登录、注册、绑定华为账号、创建用户、找回密码、修改密码等操作时,由于当前输入框不能完全支持Internet Explorer 8及以下版本的浏览器,所以出现输入框提示信息(如“最短不能少于5个字
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。 此时,用户需要打开MFA应用程序,在首页查看用户已绑定账号的验证码,下图以华为云App为例。 如果虚拟MFA验证码校验不通过,请参考:虚拟MFA验证码校验不通过怎么办。 父主题: 安全设置类
步骤3:配置外部身份ID IAM用户SSO类型的单点登录,华为云必须要为企业IdP用户对应的IAM用户配置外部身份ID。外部身份ID值要与企业IdP的IAM_SAML_Attributes_xUserId值保持一致。您可以在IAM用户创建时配置外部身份ID,或者直接修改现有IAM用户的外部身份ID:
资源路径:OBS:*:*:bucket:TestBucket*,即可授予IAM用户以TestBucket命名开头的桶相应权限。 下表为当前华为云支持资源级别授权的云服务及对应资源类型。 表1 支持资源粒度授权的云服务及其资源类型 服务 资源类型 资源名称 API开放平台SaaS(Apiexplorer-saas)
API访问控制策略不生效怎么办 问题描述 您已设置API访问控制策略,但是不满足策略要求的IAM用户仍然可以通过API访问华为云。 解决方法 可能原因:您已设置的API访问控制策略暂未生效。 解决方法:API访问控制策略应用后,将在2小时内生效,请耐心等待。 可能原因:API访问
如当前验证方式为“指定人员验证”,修改为“操作员验证”或修改指定人员手机号/邮件地址,请参考:•当前验证方式为“指定人员验证”。 操作步骤 当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“
式访问华为云,包括管理控制台访问和编程访问。IAM用户也可以自行修改该状态。 访问模式:修改iam用户的访问方式。 请参考如下说明,修改访问模式: 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。 如果IAM用户仅需编程访问华为云服务,
删除资源、生成访问密钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“
如何控制IAM用户访问控制台 通过设置访问控制,限制IAM用户只能从特定IP地址区间访问系统,提高用户信息和系统的安全性。 操作步骤 登录统一身份认证服务控制台。 在左侧导航窗格中,选择“安全设置”,单击“访问控制”页签。 访问控制仅对账号下的IAM用户生效,对账号本身不生效。
我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
能包含如下字符:大小写字母、空格、数字或特殊字符(-_.)且不能以数字或空格开头。 password 否 String IAM用户密码。 系统默认密码最小长度为8位字符,在8-32位之间支持用户自定义密码长度。 至少包含以下四种字符中的两种: 大写字母、小写字母、数字和特殊字符。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
