检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy
如果您忘记了自己的登录密码,可以找回或重置密码。操作请参考忘记账号或IAM用户密码怎么办。 如果您没有进行任何操作,但账号被锁,请尽快修改密码。操作请参考如何修改账号或IAM用户密码。 父主题: 安全设置类
件后,可以在IAM中建立对企业IdP的信任关系,使得企业用户可以直接访问华为云。 进入IAM控制台,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。 图1 创建身份提供商 在“创建身份提供商”窗口中设置名称、协议、类型、状态、描述。 图2 填写身份提供商参数
临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证的优势尤为明显,您不必给外部联邦用户授
(可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。 图4 配置单点登录模型 企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互
企业管理系统与华为云联邦身份认证交互流程 图5为用户在发起单点登录请求后,企业管理系统与华为云间的交互流程。 图5 联邦身份认证交互流程 为方便您查看交互的请求及断言消息,建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为: 用户在浏览器中打开创
企业项目授权场景下不支持授予角色。 角色内容 给用户组选择角色时,单击角色前面的,可以查看角色的详细内容,以“DNS Administrator”为例,说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [
2020-06-08 第十次正式发布。 基本概念中增加HUAWEI ID说明,并更新登录界面截图。 2020-01-19 第九次正式发布。 优化基本概念中“权限”的概念。 约束与限制中新增“项目数”的限制。 2019-11-20 第八次正式发布。 约束与限制中“自定义策略数”限制值增加至200。
加解密文件系统。 您可以在IAM控制台的委托列表中查看已创建的委托。 在IAM控制台创建云服务委托 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击“创建委托”。 在创建委托页面,设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”,在“云服务”中选择需要授权的云服务。
Client获取联邦认证Token的方法。 流程图 SP initiated联邦认证的流程如下图所示。 图1 流程图(SP initiated方式) 步骤说明 Client调用公有云系统提供的“通过SP initiated方式获取联邦token”接口。 公有云系统根据URL中的用户及IdP信息查找Metadata文件,发送SAML
目B的VPC,而让用户James只能查看项目B中VPC的数据。 图1 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证,不必与其他人员共享您的账号密码,系统会通过身份凭证中携带的权限信息允许用户安全地访问您账号中的资源。 敏感操作 IAM提供敏感操作保护功能
进入IAM控制台,在左侧导航栏选择“用户”页签。 在用户列表中,勾选需要修改的用户。勾选完成后,单击用户列表上方的“编辑”。 图7 编辑用户信息 选择需要修改的IAM用户属性,以修改IAM用户状态为例,选择“状态”。 图8 选择状态 选择要给IAM用户配置的目标状态,若要停用IA
管理员授予的权限有依赖角色,系统已自动勾选依赖角色,导致IAM用户拥有了额外的权限。如不勾选依赖角色,权限将不生效。 管理员在企业项目管理中给IAM用户授予了其他权限。如需在IAM中管理项目、用户,建议在企业项目管理中取消相关权限配置。方法请参考:删除用户关联的企业项目。 父主题: 用户组及权限管理类
IDPmetadata中的entityID; iam.example.com :SPmetadata中获取的entityID。 该链接可打开身份提供商登录页面,根据需要输入映射规则中的用户名(支持免密登录),单击登录,跳入认证页面后按F12,单击认证页面的accept。从下图所示的POST中获取SAMLResponse。
配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略,例如“BMS FullAccess”,但不希望用户拥有BMS FullAccess中的创建裸金属服务器权限(bms:servers:create),可以创建一条相同Action的自定义策略,并将自定义策略的Effect设置为Deny,然后将系统策略BMS
up4。 流程图 IdP initiated联邦认证的流程如下图所示。 图1 流程图(IdP initiated方式) 步骤说明 Client调用IdP提供的基于IdP initiated方式的登录链接,并在登录链接中设置公有云的地址,即公有云Metadata文件中的“entityID”。
2019年9月 序号 功能名称 功能描述 阶段 相关文档 1 新增可视化视图创建自定义策略功能 目前华为云支持JSON视图、可视化视图两种方式创建自定义策略。通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 商用
置到企业IdP的配置文件中,以便获取用户认证token。为了保障您的账号安全,密码和访问密钥建议加密存储。 企业管理员登录企业管理系统后,访问自定义代理,从用户列表中选择需要登录华为云的企业用户,具体操作请参见企业管理系统帮助文档。此处以企业管理员选择2中配置的用户UserB为例。
Administrator权限的Token,请参见:如何获取Security Administrator权限的Token。 通过Postman获取用户Token示例请参见:如何通过Postman获取用户Token。 您还可以通过视频教程了解如何使用Token认证:IAM视频帮助 。 调试
条件键 条件键表示策略语句的 Condition 元素中的键值。根据适用范围,分为全局条件键和服务条件键。 全局级条件键(前缀为g:)适用于所有操作,IAM提供两种全局条件键:通用全局条件键和其他全局条件键。 通用全局条件键:在鉴权过程中,云服务不需要提供用户身份信息,IAM将自动获取并鉴权。详情请参见:通用全局条件键。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
