-
权限及授权项说明 - 统一身份认证服务 IAM
用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。
-
API概览 - 统一身份认证服务 IAM
修改账号控制台访问策略 该接口可以用于管理员修改账号控制台访问策略。 查询账号控制台访问策略 该接口可以用于查询账号控制台访问控制策略。 修改账号接口访问策略 该接口可以用于管理员修改账号接口访问策略。 查询账号接口访问策略 该接口可以用于查询账号接口访问控制策略。 联邦身份认证管理 接口 说明 通过联邦认证获取Token(SP
-
如何为委托授予所有项目服务权限 - 统一身份认证服务 IAM
操作步骤 委托方登录华为云。 访问网址:API Explorer-为委托授予所有项目服务权限,进入API Explorer接口运行调试平台。 获取并编辑接口调试参数。 Region 调用API的区域。选择任一区域。 Headers X-Auth-Token:委托方Token。登录华为云后已自动获取,无需编辑。
-
安全设置 - 统一身份认证服务 IAM
修改账号密码策略 查询账号密码策略 修改账号登录策略 查询账号登录策略 修改账号控制台访问策略 查询账号控制台访问策略 修改账号接口访问策略 查询账号接口访问策略 查询IAM用户的MFA绑定信息列表 查询指定IAM用户的MFA绑定信息 查询IAM用户的登录保护状态信息列表 查询指定IAM用户的登录保护状态信息
-
基于SAML协议的虚拟用户SSO配置概述 - 统一身份认证服务 IAM
IdP用户登录华为云后的身份和权限,例如登录华为云后的用户名、加入的用户组和拥有的访问权限。 图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。
-
Token鉴权失败怎么办 - 统一身份认证服务 IAM
解决方法 需要管理员给您授予相应云服务访问权限后,才能获取具有相应权限的Token,并通过鉴权。 调用接口校验Token的有效性进行验证。如果您的Token已失效,可通过调用接口获取IAM用户Token(使用密码)或获取IAM用户Token(使用密码+虚拟MFA)重新获取Token。
-
基于SAML协议的IAM用户SSO配置概述 - 统一身份认证服务 IAM
Alice”的外部身份ID一致,则IdP_Test_User会以Alice的身份登录IAM。 图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云,如图4所示。
-
授权项 - 统一身份认证服务 IAM
权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 获取委托Token POST /v3/auth/tokens iam:tokens:assume - - 访问密钥管理 权限 对应API接口 授权项 IAM项目
-
策略语法 - 统一身份认证服务 IAM
} } }] } 多值条件键 ForAllValues:测试请求集的每个成员的值是否为条件键集的子集。如果请求中的每个键值均与策略中的至少一个值匹配,则条件返回true。 { "Version":
-
修订记录 - 统一身份认证服务 IAM
查询联邦用户可以访问的账号列表 2016-12-30 第六次正式发布 本次变更说明如下: GET /v3/projects接口的响应增加page字段(查询页面的数据)。 GET /v3/projects接口的响应增加per_page字段(页面数据个数)。 2016-10-29 第五次正式发布。 本次变更说明如下:
-
什么是临时安全凭证(临时AK/SK和SecurityToken) - 统一身份认证服务 IAM
置;永久安全凭证的有效期为永久,并且不能进行设置。 临时安全凭证没有数量限制;每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。
-
访问控制 - 统一身份认证服务 IAM
控制台访问(推荐):仅对账号下的IAM用户和联邦用户(SP方式)登录控制台生效,对账号本身不生效。 API访问:仅对账号下的IAM用户和联邦用户通过API网关访问API接口生效,修改后2小时生效。 访问控制策略最多可设置200条。 如果IAM用户或联邦用户通过代理访问华为云,需按照代理IP设置允许访问的IP地
-
基本概念 - 统一身份认证服务 IAM
AM用户的身份凭证。 密码:常见的身份凭证,密码可以用来登录控制台,还可以调用API接口。 访问密钥:即AK/SK(Access Key ID/Secret Access Key),调用API接口的身份凭证,不能登录控制台。访问密钥中具有验证身份的签名,通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。
-
查询审计事件 - 统一身份认证服务 IAM
筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。 云服务:在下拉框中选择对应的云服务名称。
-
权限管理 - 统一身份认证服务 IAM
权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。 如表1所示,包括了IAM的所有系统权限。 表1 IAM系统权限 系统角色/策略名称
-
IdP initiated方式 - 统一身份认证服务 IAM
Client对SAML Response进行重新封装后转发SAML Response,调用公有云提供的“通过IdP initiated方式获取联邦token”接口。 公有云对断言进行校验和认证,并根据用户在身份提供商配置的身份转换规则生成临时访问凭证。 用户根据分配的权限访问公有云资源。 客户端实现