检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云APP是华为云的手机客户端,通过华为云APP,您可以在手机上远程管理您的华为云服务资源。如果您在华为云APP上登录了账号或IAM用户,通过APP扫描页面二维码即可登录华为云,无需重复输入账号信息。 商用 登录华为云 2020年3月 序号 功能名称 功能描述 阶段 相关文档 1 “基于策略的访问控制”转商用
如需创建IAM用户,请参考:创建IAM用户。 企业子账号 企业主账号与企业子账号都是在华为云注册的账号,账号属性都为华为云账号。企业管理 > 财务管理提供多个华为云账号之间形成企业主子关系的能力,如果多个华为云账号属于同一组织架构,可以将多个华为云账号创建关联关系。 主账号可以给子账号划拨费用,并由子账号独
实践场景 A公司是华为云企业用户,企业中有多个项目团队,需要为项目团队购买资源、配置人员、进行项目管理。本文针对A公司提出的企业需求,给出多项目管理最佳实践。 企业需求 需求1:A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源,A公司希望将资源按需分配给两个项
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取IAM用户Token(使用密码)接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头
ser_id同时存在。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值,无法在华为云获取,请咨询企业管理员。 xuser_id 否
使用IAM授权的云服务 IAM为华为云其他服务提供认证和授权功能,在IAM中创建的用户,经过授权后可以根据权限使用系统中的其他服务。IAM支持的所有服务权限,请参见:系统权限。对于不支持使用IAM授权的服务,账号中创建的IAM用户无法使用该服务,请使用账号登录使用该服务。支持使用IAM授权的云服务请参见下方表格内容。
企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 本章节指导用户如何使用API调用的方式轮换访问密钥,您可进一步通过编程手段完成定期自动轮换工作。 前提条件 账号管理员操作其他IAM用户的访问密钥时,需要拥有Security
持TenantIdp。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值,无法在华为云获取,请咨询企业管理员。 xuser_id 否
身份认证 华为云IAM服务要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。 身份凭证及其安全性 IAM服务支持通过账号和IAM用户两种身份访问,并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。详见表1,每一种身份凭证
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。 操作步骤 登录管理控制台。 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限: Security Administrator CTS FullAccess 授权方法请参见给IAM用户授权。
您可以通过在区域中创建子项目的功能,使得同区域下的各项目之间的资源相互隔离。 联合身份认证 如果您已经有自己的身份认证系统,您不需要在华为云重新创建用户,可以通过身份提供商功能直接访问华为云,实现单点登录。 委托其他账号或者云服务管理资源 通过委托信任功能,您可以将自己的操作权限委托给更专业、高效的其
计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户如何使用API调用的方式对IAM用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM
权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,
依赖角色的授权方法 由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时,对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系,不需要进行依赖授权。 操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。
项目 华为云的每个区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目
String 账号ID。 expires_at String logintoken的过期时间。 method String 认证方法。当认证用户为华为云用户时,该字段内容为“token”,当认证用户为自定义身份代理用户时,该字段内容为“federation_proxy”。 user_id String
步骤3:配置外部身份ID IAM用户SSO类型的单点登录,华为云必须要为企业IdP用户对应的IAM用户配置外部身份ID。外部身份ID值要与企业IdP的IAM_SAML_Attributes_xUserId值保持一致。您可以在IAM用户创建时配置外部身份ID,或者直接修改现有IAM用户的外部身份ID:
式访问华为云,包括管理控制台访问和编程访问。IAM用户也可以自行修改该状态。 访问模式:修改iam用户的访问方式。 请参考如下说明,修改访问模式: 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。 如果IAM用户仅需编程访问华为云服务,
、密码中同一字符连续出现的最大次数、密码不能与历史密码相同,保证用户在修改密码时,新密码都是满足密码策略的复杂程度高的强密码。 如果您的华为云账号已升级为华为账号,密码策略将对账号不生效。 密码设置策略 图1 密码设置策略 密码至少包含字符种类(大写字母、小写字母、数字、特殊字符)默认为2种,可以在2~4种之间设置。
管理IAM用户访问密钥 访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
