检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
users Array of objects 用户信息。 表4 users 参数 参数类型 描述 domain_id String 授权用户所属账号ID。 id String 授权用户ID。 name String 授权用户名。 enabled Boolean 授权用户是否启用,tru
机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色一并授予该用户或用户组,保证权限生效。具体请参见:依赖角色的授权方法。
势尤为明显,您不必给外部联邦用户授予需要定时轮换,主动撤销的永久安全凭证,而是给这些外部联邦用户授予即时使用,定时过期的临时安全凭证,提高账号的安全性,遵循权限最小化的安全实践原则。 临时安全凭证的使用方法 临时安全凭证包括临时AK/SK和SecurityToken,临时AK/S
成访问密钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“
步骤3:配置外部身份ID IAM用户SSO类型的单点登录,华为云必须要为企业IdP用户对应的IAM用户配置外部身份ID。外部身份ID值要与企业IdP的IAM_SAML_Attributes_xUserId值保持一致。您可以在IAM用户创建时配置外部身份ID,或者直接修改现有IAM用户的外部身份ID:
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
evice 表1 路径参数 参数 是否必选 参数类型 描述 user_id 是 String 待查询的IAM用户ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
参数类型 描述 user_id 是 String 待修改登录保护状态信息的IAM用户ID(不支持修改自己的登录保护状态信息),获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-token
otect 表1 路径参数 参数 是否必选 参数类型 描述 user_id 是 String 待查询的IAM用户ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
参数 参数类型 描述 role Object 权限信息。 表4 role 参数 参数类型 描述 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时,标识此权限为系统内置的策略。 description_cn String
String 权限的英文描述。 description_cn String 权限的中文描述信息。 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时,标识此权限为系统内置的策略。 id String 权限Id。 name
参数类型 描述 role Object 自定义策略信息。 表4 role 参数 参数类型 描述 domain_id String 自定义策略所属账号ID。 references Integer 自定义策略的引用次数。 updated_time String 自定义策略更新时间。 说明:
Smith不生效,不允许John Smith访问华为云。 {UserName: John Smith} {Groups: [idp_user, idp_agency]} 含有正则表达式的条件示例 您可以在条件里指定一个“"regex": true”用来表示华为云将以正则匹配的方式来计算结果。
String 后一邻接资源链接地址,不存在时为null。 表5 roles 参数 参数类型 描述 domain_id String 自定义策略所属账号ID。 updated_time String 自定义策略更新时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。
接收到鉴权请求的时间。以 ISO 8601 格式表示,例如:2012-11-11T23:59:59Z。 g:DomainName 字符串 账号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。 g:MFAAge 数值 通过MFA多因素认证方式获
自定义策略的中文描述信息,仅在请求中传入了description_cn参数,响应体中才会返回此字段。 domain_id String 自定义策略所属账号ID。 type String 自定义策略的显示模式。 说明: AX:全局服务。 XA:区域级项目。 自定义策略的显示模式只能为AX或者X
Map<String,Array<String>>> 限制条件。了解更多相关参数,请参考:策略语法。 说明: 以请求示例中的Condition为例:当账号名(DomainName)等于DomainNameExample时,该策略才会生效。 "Condition": {
自定义策略的中文描述信息,仅在请求中传入了description_cn参数,响应体中才会返回此字段。 domain_id String 自定义策略所属账号ID。 type String 自定义策略的显示模式。 说明: AX:全局服务。 XA:区域级项目。 自定义策略的显示模式只能为AX或者X
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
