检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份源”页签中,单击预置方法列的“自动配置设置”进入“自动配置设置”页面。 图3 自动配置设置 单击状态列的“禁用”,在弹出的确认框中输入“禁用”,单击“确定”。 禁用自动
到访问控制规则中。 在IAM身份中心的“访问控制属性”页面配置ABAC属性。如果在IAM身份中心和外部身份提供商处设置的ABAC属性相同,则优先以IAM身份中心设置的属性进行访问控制决策。 本章节仅体现IAM身份中心的相关操作,外部身份提供商处的操作请参考外部身份提供商的相关文档。
将新证书导入IAM身份中心。 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份源”页签中的“身份验证方法”列,单击“修改SAML2.0配置”。 进入“编辑SAML2.0配置”页面,单击“上传证书”。
启用和配置访问控制属性 为ABAC创建权限策略 身份源管理 更改身份源 自定义用户门户URL 配置外部身份提供商 多因素认证 启用MFA 注册MFA设备 其他 设置委托管理员 查询审计事件 常见问题 了解更多常见问题、案例和解决方案 热门案例 CCE云容器引擎服务如何定价? CCE新版相比旧版有哪些新功能?
操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全” 页签。 在“是否允许用户自己管理”部分,选择是否允许用户管理自己的MFA设备,启用此功能后,用户可以自行添加和管理自己的MFA设备。
操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份源”页签中的“身份验证方法”列,单击“修改SAML2.0配置”。 进入“编辑SAML2.0配置”页面,在“身份提供
操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 在“身份源”页签中选择“自定义URL”。 输入自定义子域,单击“应用”,用户门户URL修改完成。 自定义子域的长度必须在1~
进行访问控制决策。 如果使用外部身份提供商身份源,您在IAM身份中心和外部身份提供商处均可以设置实施ABAC的用户属性,如果在两处设置的ABAC属性的属性键相同,则优先以IAM身份中心设置的属性进行访问控制决策。 表1 支持配置的用户属性 身份源 用户属性 IAM身份中心 ${user:email}
操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全” 页签。 在“如果用户没有已注册的MFA设备”部分,根据业务需要选择用户登录时是否必须拥有已注册的MFA设备。
多账号权限管理 设置委托管理员 权限集管理 账号权限管理 基于属性的访问控制(ABAC)
用IAM身份中心,需组织管理员将其设置为委托管理员。 此操作会将IAM身份中心的管理访问权限委托给此成员账号中的用户。对此委托管理员账号拥有足够权限的所有用户可以从该账号执行所有IAM身份中心管理任务,但以下任务除外: 删除IAM身份中心 设置其他成员账号为委托管理员 管理向管理账号分配的任务
合规。 集中管理用户对多个账号资源的访问权限: 允许管理员使用不超过20个IAM权限策略创建权限集,实现批量的账号权限配置。 每个账号可以设置允许访问的用户和对应的权限集。 IAM身份中心会自动将账号的权限信息同步到IAM,无需管理员在单个账号中重复授权。 基于属性的访问控制机制:
为“User_A”,最终策略评估时会将标签“orgtag1”的值与属性“User_A”的属性值进行匹配,例如您将“orgtag1”标签的值设置为“test1”,访问控制属性“User_A”的属性值选择“${user:name}”,那么只有用户名为“test1”的用户才会获得此策略定义的权限。
构造请求 本节介绍REST API请求的组成,以调用列出实例接口说明如何调用API,该API获取账号下开通的实例信息。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987 。 请求URI 请求URI由如下部分组成。
MFA settings: {0}. 无法获取用户的MFA管理设置信息。 请检查参数是否正确。 500 IIC.1511 Failed to obtain the MFA settings: {0}. 无法获取用户的MFA管理设置信息。 请联系技术支持。 400 IIC.1512 Failed
返回结果 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于列出实例接口,如果调用后返回状态码为“200”,则表示请求成功。 响应消息头 对应请求消息头,响
步骤 说明 参考文档 为资源添加标签 要在IAM身份中心中实施ABAC,您首先要为需要实施ABAC的资源添加标签。资源标签的值要与用户属性设置一致,这样才能在权限策略中匹配成功,从而使访问控制策略生效。 例如您需要使用用户的用户名属性进行访问控制,用户的用户名为“User1”,那
注册客户端 功能介绍 向IAM身份中心注册客户端,这允许客户端启动设备授权,输出应该持久化以便于身份验证请求重用。 URI POST /v1/clients 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 client_name 是 String 客户端名称。 最小长度:1
请求设备授权 功能介绍 发起设备授权请求。 URI POST /v1/device/authorize 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 client_id 是 String 在IAM身份中心注册的客户端的唯一标识符。 client_secret 是