检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户组及权限管理类 找不到特定服务的IAM权限怎么办 IAM权限没有生效怎么办 IAM用户访问IAM控制台时提示没有权限怎么办 如何授予IAM用户不能支付订单、可以提交订单权限
建议禁止的高危权限,例如: 禁止该IAM用户创建新的IAM用户和授权; 禁止计算资源实例的操作,如关闭ECS、BMS服务器等; 禁止存储资源实例的操作,如删除OBS桶、删除EVS云硬盘,删除RDS实例等; 禁止删除日志,如删除云日志LTS上的日志、删除CTS追踪器等。 具体操作,详见创建自定义策略、给IAM用户授权。
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
tps://{base URL}/.well-known/openid-configuration,其中base URL由企业IdP定义,如Google提供的Openid-configuration为https://accounts.google.com/.well-known/
kafka Kafka实例 rocketmq RocketMQ实例 数据仓库服务(DWS) cluster 集群 弹性云服务器(ECS) instance 弹性云服务器 云硬盘(EVS) volume 云硬盘 函数工作流服务(FunctionGraph) function 函数 trigger
SSO),如需了解通过API调用方式访问华为云,请参见:联邦身份认证管理。 注意事项 企业IdP服务器的时间需要和华为云的时间、时区一致,即都使用GMT时间(Greenwich Mean Time),否则会导致联邦身份认证失败。 由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业IdP中,是企业IdP映射到华
自动在当前region创建1个管理追踪器,用于记录项目级服务的管理事件。 自动在华北-北京四区域创建1个管理追踪器,用于记录全局服务(如IAM服务)的管理事件。 在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。
停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
查询租户授权信息 功能介绍 该接口用于查询指定账号中的授权记录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-P
xaccount_type 是 String 该字段为标识租户来源字段,默认为空。 metadata 是 String 该字段为用户IdP服务器的Metadata文件的内容。 响应参数 表4 响应Body参数 参数 参数类型 描述 message String 导入结果信息。 请求示例
面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:敏感操作。
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
display_name 否 String 权限名称或过滤条件。该参数可以传入控制台或系统权限显示的权限名称。 权限名称:如传参为ECS FullAccess,则返回该权限相关信息。 过滤条件:如传参为Administrator,则返回满足条件的所有管理员权限。 page 否 Integer 分页查
限,以下配置Openstack Client的操作只需要普通用户权限。 接口调用操作应该在一个安全的网络环境中进行(在VPN或者在租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用文本编辑器创建环境变量文件,在文件中设置用户名、密码、区域、SAML协议版本
区域,如OBS服务。如需了解服务作用范围,请参考系统权限。domain支持id和name,二选一即可,建议选择“domain_id”。 project 否 Object 取值为project时,表示获取的Token可以作用于项目级服务,仅能访问指定project下的资源,如ECS
使用的服务 权限作用范围 设置权限 ECS 区域项目 ECS FullAccess OBS 全局区域 OBS OperateAccess 在用户组列表中,单击新建用户组“开发人员组”右侧的“授权”。 图6 授权 设置区域项目级服务的权限。 由表1可知,ECS服务为区域项目级服务。勾选需要
String 权限更新时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 created_time String 权限创建时间。 说明: UNIX时间戳格式,单位是毫秒,时间戳格式如:1687913793000。 表5 links 参数 参数类型 描述
ssssssZ,日期和时间戳格式参照ISO-8601,如:2023-06-28T08:56:33.710000Z。 expires_at String token到期时间。 说明: UTC时间,格式为YYYY-MM-DDTHH:mm:ss.ssssssZ,日期和时间戳格式参照ISO-8601,如:2023-06-28T08:56:33
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
