检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开通云审计服务 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件,例如
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
配置弹性云服务器ECS委托 华为云弹性云服务器(Elastic Cloud Server,以下简称ECS)是一种云上可随时自助获取、可弹性伸缩的计算服务。本文将指导用户创建ECS委托,并获取委托的临时访问密钥。 应用场景 假如您是一位开发者,开发了一个应用程序,这个应用程序运行在
移动至右上方的用户名,在下拉列表中选择“我的凭证”,单击“访问密钥”页签,您可以在访问密钥列表中查看访问密钥ID(AK),在下载的.csv文件中查看秘密访问密钥(SK)。具体方法请参见:管理访问密钥。 如果您没有登录密码,不能登录控制台,在访问密钥异常丢失或者需要重置时,可以请管
可能原因:您已设置的API访问控制策略暂未生效。 解决方法:API访问控制策略应用后,将在2小时内生效,请耐心等待。 可能原因:API访问控制功能在对象存储服务(OBS)不生效。 解决方案:OBS服务暂不支持API访问控制策略,如需限制,请参考限制指定IP地址对桶的访问权限。 若您的使用场景不属于以上任意一种
除全局区域外的其他区域 √ √ x x x 云硬盘备份 VBS 除全局区域外的其他区域 √ √ x x x 对象存储服务 OBS 全局区域 √ √ √ √ √ 弹性文件服务 SFS 除全局区域外的其他区域 √ √ x √ √ 内容分发网络 CDN 全局区域 √ √ x √ √ 云备份 CBR
xml文件,并将metadata.xml文件放置在对应路径下。 <MetadataProvider id="LocalMetadata1"xsi:type="FilesystemMetadataProvider" metadataFile="C:\Program Files (x
略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略,自动推荐授权范围方案,便于为用户选择合适的授权作用范围,表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。
购买资源并关联企业项目 本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为企业项目购买资源。 登录华为云控制台,单击页面左上角的,选择“计算 > 弹性云服务器 ECS”。 单击页面右上角的“购买弹性云服务器”,系统进入购买页。 图9 购买弹性云服务器 配置弹性云服务器各项信
企业IdP的Metadata文件获取方法请参考企业IdP提供商的帮助文档。 上传元数据: 单击身份提供商列表中“操作”列的“修改”。 图3 修改身份提供商 单击“上传文件”左侧的“添加文件”,选择获取的企业IdP的元数据文件。 图4 上传元数据文件 单击“上传文件”。弹出页面显示系统提取到的元数据,单击“确定”。
如何通过API Explorer获取用户Token API Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用
FullAccess 弹性云服务器(ECS)的所有执行权限。 OBS FullAccess 对象存储服务(OBS)的所有执行权限。 ELB FullAccess 弹性负载均衡(ELB)的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器(ECS)的普通操作权限。
区域和可用区用来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云
企业IdP的Metadata文件获取方法请参考企业IdP提供商的帮助文档。 上传元数据: 单击身份提供商列表中“操作”列的“修改”。 图3 修改身份提供商 单击“上传文件”左侧的“添加文件”,选择获取的企业IdP的元数据文件。 图4 上传元数据文件 单击“上传文件”。弹出页面显示系统提取到的元数据,单击“确定”。
步骤说明 Client调用IdP提供的基于IdP initiated方式的登录链接,并在登录链接中设置公有云的地址,即公有云Metadata文件中的“entityID”。 Client获取IdP的登录页面,用户通过Client提交身份信息给IdP进行认证。 用户认证成功后,IdP构建携带用户身份信息的断言发送SAML
请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限
B账号希望将A账号委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理。 如果合作关系发生变更,A账号希望随时可以修改或撤销对B账号的授权。 解决方案 针对以上企业需求,可以使用IAM的委托功能来实现跨账号的资源授权与管理。 A账号在IAM控制台创建一个委托,指定委托的使用者为B账号,并将需要代运维的资源授权给这个委托。
调用API接口时,需要使用AK/SK对请求进行签名 数据存储安全 IAM通过加密算法对用户个人敏感数据加密后进行存储。 用户名、AK:不属于敏感数据,明文存储。 密码:使用加盐的SHA512算法进行加密存储。 邮箱、手机号、SK:使用安全AES算法进行加密存储。 数据传输安全 用户个人敏感数据(包括密码)将通过TLS
设置区域级项目的权限。 由表1可知,除OBS外,其它服务都是项目级服务。勾选需要授予用户组的项目级服务权限,单击“下一步”。 图7 勾选所需权限 选择授权范围方案为“指定区域项目资源”,并选择“华北-北京四”,单击“确定”。 设置完成后,开发人员组仅在“华北-北京四”有访问权限,访问其它区域将提示没有权限。
查询Metadata文件 功能介绍 该接口可以用于管理员查询身份提供商导入到IAM中的Metadata文件。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
