检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用API涉及的常用概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服
Resource Object 委托资源,仅在创建请求中传递此字段,才会返回此对象。在有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例: "Resource":
在“切换角色”页面中,输入委托方的账号名称。 图2 输入委托方的账号名称、委托名称 输入账号名称后,系统将会按照顺序自动匹配委托名称,如果自动匹配的是没有授权的委托,系统将提示您没有权限访问,您可以删除委托名称,在下拉框中选择已授权的委托名称。 单击“确定”,切换至委托方账号中。 后续步骤
IAM_SAML_Attributes_redirect_url 指定联邦登录重定向的目标网址 用户在SSO登录过程中,希望跳转到华为云控制台的指定页面。例如指定跳转到北京四局点,云监控服务CES主页。 IAM_SAML_Attributes_domain_id 与企业IdP建立联邦认证的华为账号或华为云账号ID值
查看授权记录 如果您需要查看当前账号下的所有授权关系,可以进入“权限管理>授权管理”页面。IAM权限管理为您呈现账号中的所有授权关系,支持使用“策略名”、“用户名/用户组名/委托名”、“项目区域”、“企业项目(已开启企业项目)”“主体类型”为过滤条件查看指定授权关系。 如果您已开
装Google Chrome浏览器后,浏览器“设置”页面的“自动填充”区域中,“密码”页面下“提示保存密码”和“自动登录”选项是默认开启的。如果用户根据界面提示确认保存密码后,下次登录华为云时,登录界面的密码输入框会自动联想填充字符,为了确保账号及密码安全,用户可关闭该功能。以Google
企业管理系统界面已创建华为云登录入口。 操作步骤 在IAM控制台的左侧导航窗格中,单击“身份提供商”。 单击目标身份提供商列表右侧的“查看”。 图1 查看身份提供商详情 单击“登录链接”右侧的“”。 图2 复制登录链接 将以下语句添加在企业管理系统页面文件中。 <a href="<登录链接>"> 华为云登录入口
IAM_SAML_Attributes_redirect_url 指定联邦登录重定向的目标网址 用户在SSO登录过程中,希望跳转到华为云控制台的指定页面。例如指定跳转到北京四局点,云监控服务CES主页。 IAM_SAML_Attributes_domain_id 与企业IdP建立联邦认证的华为账号或华为云账号ID值
管理员需授予IAM用户可以提交购买订单,但是不能支付订单的权限。 解决方法 目前费用中心在IAM注册的系统权限无法满足管理员的需求,需要自定义策略,并将其授权给IAM用户。 前提条件 请确保您已创建IAM用户A、用户组B,并将用户A加入用户组B中。详情请参见:创建IAM用户。 操作步骤 登录华为云控制台。 在控
创建IAM用户后,用户列表中显示新创建的用户。在用户组的“用户组管理”页面可以查看各个用户组中的IAM用户。 企业项目与IAM用户组关联授权 本节介绍在IAM控制台给用户组授予企业项目权限。通过本节,您将了解企业项目与IAM用户组关联授权的详细步骤。 管理员登录IAM控制台。 在用户组列表中,单击“
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
以由管理员在IAM中重置密码。 管理员在IAM用户列表中,单击右侧的“安全设置”,在“安全设置”页签,单击“登录凭证>登录密码”右侧的,重置IAM用户的登录密码。 图1 修改IAM用户密码 IAM提供的安全设置功能,适用于管理员重置IAM用户的密码。 账号自动生成的IAM用户无法
sso_type String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。
sso_type String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。
(可选)输入“策略描述”。 单击“确定”后,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”,请按照语法规范进行修改。 将新创建的自定义策略授予用户组,使得用户组中的用户具备自定义策略中的权限。 给用户组授予自定义策略与系统策略操作一致,详情请参考:创建用户组并授权。
提示元数据文件中Entity ID为空、签名证书过期等内容时,需要您确认元数据文件的正确性后,重新上传或者通过手动编辑提取元数据。 单击“确定”,保存设置信息。 手动编辑元数据 单击“手动编辑”。 图5 手动编辑元数据 在“手动编辑元数据”页面中,输入从企业IdP元数据文件中获取的“Entity
对IAM用户的权限进行安全审计,步骤如下: 查询用户组列表; 查询全局服务中的用户组权限; 查询项目服务中的用户组权限; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。 涉及的接口如下: 查询用户组列表 查询全局服务中的用户组权限 查询项目服务中的用户组权限 管理员查询用户组所包含的IAM用户
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
修改用户组名称和描述 管理员在用户组列表中,单击用户组右侧的“编辑”,修改用户组名称和描述。 图5 修改用户组名称和描述 如果该用户组名称已配置在身份提供商的身份转换规则中,修改用户组名称将导致对应身份转换规则失效,请谨慎操作。 修改用户组中的用户 管理员在用户组列表中,单击用户组右侧的“用户组管理”。
URI-scheme 传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 承载REST服务端点的服务器域名或IP,不同服务在不同区域,Endpoint不同,可以从使用前必读中获取。例如IAM服务在“华北-北京一”区域的Endpoint为iam.cn-north-1.myhuaweicloud
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
