检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
API访问控制策略不生效怎么办 问题描述 您已设置API访问控制策略,但是不满足策略要求的IAM用户仍然可以通过API访问华为云。 解决方法 可能原因:您已设置的API访问控制策略暂未生效。 解决方法:API访问控制策略应用后,将在2小时内生效,请耐心等待。 可能原因:API访问
以单击“通过资源路径指定”来指定需要授权的资源。 支持为特定资源授权的云服务请参考:支持IAM资源粒度授权的云服务。 表1 资源类型 类型 说明 特定资源 授予IAM用户特定资源的相应权限。如授予IAM用户以TestBucket命名开头的桶相应权限,需将bucket设置为通过资源
判断当前账号是华为账号还是华为云账号。单击右上方登录的账号名,在下拉列表中选择“基本信息”。若基本信息页展示“华为账号信息”,则当前账号为华为账号,否则为华为云账号。关闭账号的登录验证,华为账号参见:华为账号关闭自己的登录验证功能,华为云账号参见:华为云账号在安全设置中关闭自己的登录验证。 图1 华为账号信息页
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
查询全局服务中的用户组权限 查询项目服务中的用户组权限 为用户组授予全局服务权限 为用户组授予项目服务权限 查询用户组是否拥有全局服务权限 查询用户组是否拥有项目服务权限 查询用户组的所有项目权限列表 查询用户组是否拥有所有项目指定权限 移除用户组的所有项目服务权限 移除用户组的全局服务权限
Services建立与华为云的联合认证 身份提供商 使用keycloak建立与华为云的联邦身份认证 身份提供商 使用Shibboleth IdP建立与华为云的联合认证 智能客服 您好!我是有问必答知识渊博的的智能问答机器人,有问题欢迎随时求助哦! 社区求助 华为云社区是华为云用户的聚集地。这里有
表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。
移除委托下的所有项目服务权限 该接口可以用于管理员移除委托的所有项目服务权限。 企业项目管理 接口 说明 查询企业项目关联的用户组 该接口用于查询指定ID的企业项目所关联的用户组。 查询企业项目关联用户组的权限 该接口用于查询指定ID的企业项目所关联用户组的权限,适用于待查询的企业项目已关联了用户组。
eny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Resource 否 Object 委托资源。在有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例:
查询账号配额 查询IAM用户的MFA绑定信息列表 查询指定IAM用户的MFA绑定信息 查询IAM用户的登录保护状态信息列表 查询指定IAM用户的登录保护状态信息 查询委托下的所有项目服务权限列表 为委托授予所有项目服务权限 检查委托下是否具有所有项目服务权限 移除委托下的所有项目服务权限 安全设置
约束与限制中“用户可加入的用户组数”限制值减少至10。 2020-06-08 第十次正式发布。 基本概念中增加HUAWEI ID说明,并更新登录界面截图。 2020-01-19 第九次正式发布。 优化基本概念中“权限”的概念。 约束与限制中新增“项目数”的限制。 2019-11-20
eny的授权语句时,遵循Deny优先的原则。 取值范围: Allow Deny Resource 否 Object 委托资源。当有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例:
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目
2、orgPath3、orgPath4下的成员,策略匹配失败。 ForAnyValue:测试请求值集的至少一个成员是否与条件键值集的至少一个成员匹配。如果请求中的任何一个键值与策略中的任何一个条件值匹配,则条件返回true。对于没有匹配的键或空数据集,条件返回false。 {
删除映射 功能介绍 该接口可以用于管理员删除映射。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3/OS-FEDERATION/mappings/{id}
× iam:users:setUserLoginProtect - - 查询指定项目上有权限的用户列表 × iam:users:listUsersForProject - - 查询IAM用户的MFA绑定信息列表 GET /v3.0/OS-MFA/virtual-mfa-devices
删除SAML身份提供商 功能介绍 该接口可以用于管理员删除基于SAML协议的身份提供商。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE
删除协议 功能介绍 该接口可以用于管理员删除协议。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3/OS-FEDERAT
设置项目状态 功能介绍 该接口可以用于管理员设置项目状态。项目状态包括:正常、冻结。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT
objects 服务目录信息。 domain Object 获取token的用户所属的账号信息。如果获取token时请求体中scope参数设置为domain,则返回该字段。 project Object 获取token的用户所属账号的项目信息。如果获取token时请求体中scope参数设置为project,则返回该字段。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
