检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
换为具体的属性键。 上述访问控制规则配置完成后,权限策略会根据您指定的资源标签键和属性键,对资源标签的值和属性值进行匹配校验,只有资源标签的值和属性值匹配成功的用户才会获得此权限集定义的资源访问权限。 策略示例 创建权限集的具体操作请参见:创建权限集。此处仅举例说明如何在权限集的
支持审计的关键操作 通过云审计服务,您可以记录与IAM身份中心相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的IAM身份中心操作列表 操作名称 资源类型 事件名称 开通IAM身份中心服务 Instance StartIdentityCenter 关闭IAM身份中心服务
确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action)。
有匹配标签的华为云资源相关权限,实现更精细的权限管理。 例如,您可以将两个不同用户User_A和User_B关联相同的权限集,然后基于用户的显示名属性来进行访问控制。当User_A和User_B登录用户门户访问此权限集定义的资源时,IAM身份中心会将他们的显示名与资源的标签值进行
是否必须拥有已注册的多因素认证(MFA)设备。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全” 页签。 在“如果用户没有已注册的MFA设备”部分,
IAM身份中心为用户提供基于华为云组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站,访问
并使用IAM身份中心资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将IAM身份中心资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用IAM身份中心服务的其它功能。
包含用户昵称的字符串。 profileUrl 否 String 包含可能与用户关联的URL的字符串。 emails 否 Array of objects 包含用户的电子邮箱信息的对象列表。 addresses 否 Array of objects 包含用户地址信息的对象列表。 phoneNumbers
String 包含要显示的名称的格式化版本的字符串。 familyName String 用户的姓氏。 givenName String 用户的名字。 middleName String 用户的中间名。 honorificPrefix String 用户的尊称前缀。 honorificSuffix
客户端标识符和客户端密钥失效的时间。 token_endpoint String 客户端可以在其中获取访问令牌的端点。 scopes Array of strings 服务器为客户端注册的作用域列表。后续授权访问令牌时,权限都应该限制在此作用域列表的子集范围内。 请求示例 向IAM身份中心注册客户端。
0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商 (IdP)使用的一种开放标准,关于SAML2.0的详细描述请参见:SAML 2.0技术概述。IAM支持使用SAML2.0协议进行联邦身份认证,因此与华为云建立联邦身份认证的企业IdP必须支持SAML2
Object 包含用户工作相关信息的对象。 表4 addresses 参数 是否必选 参数类型 描述 country 否 String 国家/地区。 最小长度:1 最大长度:1024 formatted 否 String 包含要显示的地址的格式化版本的字符串。 最小长度:1 最大长度:1024
String 包含要显示的名称的格式化版本的字符串。 familyName String 用户的姓氏。 givenName String 用户的名字。 middleName String 用户的中间名。 honorificPrefix String 用户的尊称前缀。 honorificSuffix
String 包含要显示的名称的格式化版本的字符串。 familyName String 用户的姓氏。 givenName String 用户的名字。 middleName String 用户的中间名。 honorificPrefix String 用户的尊称前缀。 honorificSuffix
String 包含要显示的名称的格式化版本的字符串。 familyName String 用户的姓氏。 givenName String 用户的名字。 middleName String 用户的中间名。 honorificPrefix String 用户的尊称前缀。 honorificSuffix
Object 包含用户工作相关信息的对象。 表4 addresses 参数 参数类型 描述 country String 国家/地区。 最小长度:1 最大长度:1024 formatted String 包含要显示的地址的格式化版本的字符串。 最小长度:1 最大长度:1024 locality
国家/地区。 最小长度:1 最大长度:1024 formatted String 包含要显示的地址的格式化版本的字符串。 最小长度:1 最大长度:1024 locality String 地址位置。 最小长度:1 最大长度:1024 postal_code String 邮政编码。
一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 IAM身份中心的多因素认证主
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个IAM身份中心用户、用户组等。IAM身份中心的配额请参见约束与限制。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。
选择此模式后,IAM身份中心为用户提供在登录期间信任其设备的选项。用户登录期间勾选“是否信任此设备”选项后,IAM身份中心会提示用户输入MFA验证码一次,并分析用户后续登录的登录上下文(如设备、浏览器和IP地址)。后续登录时,如果用户的登录上下文未更改,将不触发MFA认证;如果用户的登录上下文更改,将提示用户进行MFA认证。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
