检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的
删除或修改委托 修改委托 如果需要修改委托的权限、持续时间、描述等,可以在委托列表中,单击委托右侧的“修改”,修改委托。 图1 修改委托 云服务委托支持修改云服务、持续时间、描述、权限,委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用,请谨慎操作。
身份提供商 身份提供商概述 虚拟用户SSO与IAM用户SSO的适用场景 基于SAML协议的虚拟用户SSO 基于SAML协议的IAM用户SSO 基于OIDC协议的虚拟用户SSO 身份转换规则详细说明
访问密钥管理 获取委托的临时访问密钥和securitytoken 获取用户的临时访问密钥和securitytoken 获取联邦用户的临时访问密钥和securitytoken 创建永久访问密钥 查询所有永久访问密钥 查询指定永久访问密钥 修改指定永久访问密钥 删除指定永久访问密钥 父主题:
查看IAM操作记录 开通云审计服务 在CTS事件列表查看云审计事件
权限说明。 用户名/用户组名/委托名:IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录,选择过滤条件为“用户名”、“用户组名”,输入指定对应名称,查看其授权记录。 基于企业项目授权,最小授权单位为用户,查看企业项目视图下指定IAM用户授权记录时,
sso_type String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description
g:UserId 字符串 IAM用户ID。示例参见7。 g:UserName 字符串 IAM用户名。示例参见8。 表3 其他全局条件键 全局条件键 类型 说明 g:SourceIp IP Address 请求用户的IP地址 g:SourceVpc String 请求用户的VPC ID g:SourceVpce
策略内容 可以单击策略名称查看策略所包含的内容,从而进行选用策略。 查看策略内容 在左侧导航栏选择“用户组”,单击需授权的用户组“操作”列下的“授权”。 给用户组选择策略时,单击策略前面的,可以查看策略的详细内容,以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。
sso_type String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description
自定义策略 创建自定义策略 修改、删除自定义策略 自定义策略使用样例 支持IAM资源粒度授权的云服务 父主题: 权限管理
身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。如果选择该类型,请确保您已在华为云创建IAM用户。 默认配置为virtual_user_sso类型,同一个账号下两种
多因素认证与虚拟MFA 多因素认证 虚拟MFA
委托其他账号管理资源 基本流程 创建委托(委托方操作) (可选)分配委托权限(被委托方操作) 切换角色(被委托方操作) 父主题: 委托
修改账号接口访问策略 功能介绍 该接口可以用于管理员修改账号接口访问策略,策略修改后将对账号下所有IAM用户和联邦用户(SP方式)生效。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API
基于用户组为企业项目授权 功能介绍 该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。 该接口可以使用全局区域的域名调用,全局区域的域名为iam.myhuaweicloud.com。 根据产品迭代计划,该接口将逐步下线,推荐您使用基于用户组为企业项目授权。
user_num 是 Int 关联用户组中的用户数。 policy_num 是 Int 关联用户组的策略数。 created_at 是 Int 关联用户组创建的时间(Unix时间:毫秒)。 响应样例:查询的企业项目关联了用户组。 { "groups": [ {
描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id
每个用户最多可创建2个访问密钥,不支持增加配额。 如果您是IAM用户,请在“安全设置>敏感操作>访问密钥保护”确认所属账号是否开启访问密钥保护。 访问密钥保护关闭时,所有IAM用户可以管理(包含创建、启用/停用或删除)自己的访问密钥。 访问密钥保护开启时,仅拥有相应权限的IAM用户才可以管理自己的访问密钥。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
