-
修订记录 - 统一身份认证服务 IAM
获取账号、IAM用户、项目、用户组、区域、委托的名称和ID中新增通过调用API获取项目ID。 2019-08-15 第二十三次正式发布。 本次变更说明如下: 新增章节:自定义策略管理 调整全文内容:所有接口可以使用全局区域的域名和其他区域的域名调用。 2019-07-12 第二十二次正式发布。
-
返回结果 - 统一身份认证服务 IAM
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取IAM用户Token(使用密码)接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头
-
IAM功能 - 统一身份认证服务 IAM
户安全地访问您账号中的资源。 敏感操作 IAM提供敏感操作保护功能,包括登录保护和操作保护,在您登录控制台或者进行敏感操作时,系统将要求您进行邮箱/手机/虚拟MFA的验证码的第二次认证,为您的账号和资源提供更高的安全保护。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的
-
查看授权记录 - 统一身份认证服务 IAM
组的授权记录。 项目区域:IAM项目或区域名称,即权限的作用范围。查看IAM项目授权情况,请选择: 全局服务:查看所有全局服务授权记录。 所有项目:查看基于所有项目授权的授权记录。基于“所有项目”授权,权限对所有项目都生效,包括全局服务和所有项目(包括未来创建的项目)。 指定项目
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
身份提供商名称不能重复,建议以域名唯一标识命名。 在华为云上配置授权信息 单击身份提供商列表中“操作”列的“修改”,进入“修改身份提供商”页面。 图3 修改身份提供商 在修改身份提供商页面,选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
在企业IdP中配置华为云的元数据文件,以建立企业IdP对华为云的信任。常用企业IdP,如Microsoft Active Directory(AD FS)和Shibboleth的配置步骤,请参见:与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件(metadata文件)。 访问网址:https://auth
-
步骤4:登录验证 - 统一身份认证服务 IAM
”,在浏览器中打开,输入企业管理系统用户名和密码,登录成功。 图1 登录链接 查看联邦用户是否跳转至实体IAM用户。 跳转到指定区域或服务 如需指定联邦用户登录的目标页面,比如联邦用户登录时,指定跳转到北京四局点,云监控服务CES主页。有以下两种配置方式: SP侧登录配置方法 拼
-
步骤1:创建用户组并授权 - 统一身份认证服务 IAM
在“创建用户组”界面,输入“用户组名称”,单击“确定”,完成用户组创建。 图5 输入用户组信息 按照4和5的方法,创建“测试人员组”。 给用户组授权 A公司的开发人员需要使用的云服务为ECS、RDS、ELB、VPC、EVS和OBS,需要为“开发人员组”授予这六个服务的管理员权限。测试人员需要使用云服务A
-
如何通过API Explorer获取用户Token - 统一身份认证服务 IAM
Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用户的身份、权限等信息,用户调用API接口时,需要使用Token进行鉴权。 本章节指导用户如何通过API
-
权限管理 - 统一身份认证服务 IAM
IAM部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM时,不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务
-
步骤1:创建身份提供商 - 统一身份认证服务 IAM
在企业IdP中配置华为云的元数据文件,以建立企业IdP对华为云的信任。常用企业IdP,如Microsoft Active Directory(AD FS)和Shibboleth的配置步骤,请参见:与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件(metadata文件)。 访问网址:https://auth
-
对IAM用户的权限进行安全审计 - 统一身份认证服务 IAM
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户
-
如何通过Postman获取用户Token - 统一身份认证服务 IAM
AM用户Token。 Token的有效期 Token的有效期为24小时。建议进行缓存,避免频繁调用。使用Token前请确保Token离过期有足够的时间,防止调用API的过程中Token过期导致调用API失败。 重新获取Token,不影响已有Token有效性。如果在Token有效期
-
创建自定义策略 - 统一身份认证服务 IAM
击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。 选择“操作”,根据需求勾选产品权限。 (可
-
获取委托Token - 统一身份认证服务 IAM
组、区域、委托的名称和ID。id和name,二选一即可。 表9 auth.scope.project 参数 是否必选 参数类型 描述 id 否 String 委托方A项目的ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name,二选一即可。
-
获取IAM用户Token(使用密码) - 统一身份认证服务 IAM
作用于全局服务,id和name需要二选一。 name 否 String IAM用户所属账号名称,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。当auth.scope选择了domain时,获取的Token可以作用于全局服务,id和name需要二选一。 表11
-
获取IAM用户Token(使用密码+虚拟MFA) - 统一身份认证服务 IAM
及其他云服务的接口时,可以使用本接口获取的Token进行鉴权。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口使用导航: IAM用户获取Token 判断当前账号是华为账号还是华为云账号 华为账号获取Token