检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
entityStore 添加自定义域名 Instance CreateAlias 启用指定实例的访问控制功能 Instance CreateInstanceAccessControlAttributeConfiguration 解除指定实例的访问控制属性配置 Instance D
实例访问控制属性配置管理 启用指定实例的访问控制功能 获取指定实例的访问控制属性配置 更新指定实例的访问控制属性配置 解除指定实例的访问控制属性配置 父主题: API
示名属性来进行访问控制。当User_A和User_B登录用户门户访问此权限集定义的资源时,IAM身份中心会将他们的显示名与资源的标签值进行匹配,只有当他们的显示名与资源上的添加的标签值匹配时,User_A和User_B才能访问该资源。如果User_A后续不再需要访问此权限集下的某
基于属性的访问控制(ABAC) ABAC概述和配置流程 启用和配置访问控制属性 为ABAC创建权限策略 支持配置的用户属性 父主题: 多账号权限管理
源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。 如果使用外部身份提供商身份源,您在IAM身份中心和外部身
身份验证器应用程序 在“绑定虚拟MFA”页面上将显示新MFA设备的配置信息,包括二维码图形等。根据界面提示完成如下操作: 在手机上安装支持虚拟MFA的应用,如华为云App。 您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA: 扫描二维码
安全密钥和内置身份验证器: FIDO2是基于公钥密码学的标准,它包含了CTAP2和WebAuthn标准。FIDO凭证具有防网络钓鱼功能,因为它对于网站来说具有唯一性。 安全密钥指是兼容FIDO2的外部硬件身份验证器,您可以购买并通过USB、BLE或NFC连接到设备。当您被提示输入MFA时
组。 principal_type 是 String 创建绑定的实体类型。 枚举值: USER GROUP target_id 是 String 待绑定的目标实体标识。 target_type 是 String 创建绑定的实体类型。 枚举值: ACCOUNT 响应参数 状态码: 200
API概览 表1 IAM身份中心接口列表 类型 说明 实例管理 包括列举实例列表的接口。 实例访问控制属性配置管理 包括启用指定实例的访问控制功能接口,以及获取、更新、解除指定实例的访问控制属性配置接口。 权限集管理 包括权限集的增删改查、为权限集添加/分离/列举系统身份策略或策
如果发现现有SAML证书出现泄露或处理不当的迹象时,应立即删除并轮换该证书。 证书轮换 从外部身份提供商处获取新证书。 前往外部身份提供商网站下载SAML 2.0证书,确保是以PEM编码格式下载证书文件。大多数身份提供商都允许创建多个SAML 2.0证书,它们很可能会被标记为已禁用或未激活状态。
API 实例管理 实例访问控制属性配置管理 权限集管理 账号分配管理 标签管理 用户管理 用户组管理 用户/用户组绑定关系管理 SCIM用户管理 SCIM用户组管理 服务提供商管理 客户端管理 令牌管理 设备授权管理 授权管理 账号管理 委托管理 凭证管理
一个用户可以加入的用户组数量 1000 否 一个用户可以绑定的多因素认证(MFA)设备数量 2 否 IAM身份中心允许创建的权限集数 2000 是 一个权限集可以包含的权限策略数 20个系统策略+1个自定义策略 否 一个账号可以绑定的权限集数 50 是 自定义策略的最大字符数量 6144
删除账号分配 功能介绍 使用指定的权限集从指定的账号删除主体的访问权限,主体可为IAM身份中心用户或用户组。 URI POST /v1/instances/{instance_id}/account-assignments/delete 表1 路径参数 参数 是否必选 参数类型 描述
refresh_token 否 String 刷新令牌,此令牌可在访问令牌过期后获取新的访问令牌。 scopes 否 Array of strings 客户端定义的作用域列表,表示客户端想要获取的权限。授权后,此列表用于在授予访问令牌时限制权限。 响应参数 状态码: 200 表2 响应Body参数
承载REST服务端点的服务器域名或IP,不同服务在不同区域,Endpoint不同,可以从地区和终端节点处获取。例如IAM身份中心服务的Endpoint为identitycenter.myhuaweicloud.com。 resource-path 资源路径,即API访问路径。从具体API的
添加自定义身份策略 绑定用户和组 02 入门 带您快速上手使用IAM身份中心,了解IAM身份中心在典型场景下的操作方法。 入门指导 创建用户和权限集 账号关联用户和权限集 用户登录并访问资源 03 使用 通过IAM身份中心,可以集中进行身份管理,安全、高效地分配每个账号资源的访问权限。 用户管理
用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证
员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。IAM服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM
集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。 云服务在IAM预置了常用授权项,称为系统
息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
