检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您已解绑或重置虚拟MFA,登录华为云时,仍需要通过虚拟MFA进行登录验证。 可能原因 您已开启登录保护,验证方式是“虚拟MFA”,且已解绑或重置虚拟MFA。此时,您的MFA设备和华为云的绑定关系已解除,但是登录保护依然生效,因此需要进行登录验证。 解决方法 登录华为云时,重新绑定虚拟MFA,并通过虚拟MFA进行登录验证。
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
在解绑虚拟MFA页面,输入从虚拟MFA设备获取的动态验证码。 单击“确定”,验证成功后,完成解绑MFA操作。 重置虚拟MFA 手机丢失或已删除虚拟MFA应用程序的华为云账号或华为账号,请提交工单(选择“业务类>用户账号>重置虚拟MFA”)。或拨打免费客服电话4000-955-988反馈,请按照客服回复提供所
能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java
依赖角色的授权方法 由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时,对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系,不需要进行依赖授权。 操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。
创建身份提供商 功能介绍 该接口可以用于管理员创建身份提供商。请创建身份提供商后,注册协议并修改身份提供商配置。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
授权过程中创建策略 可视化视图配置自定义策略 登录IAM控制台。 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。 图2 创建自定义策略 输入“策略名称”。 图3 输入策略名称 “策略配置方式”选择“可视化视图”。 在“策略内容”下配置策略。 选择“允许”或“拒绝”。
已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。 鼠标移动至右上方的用户名,选择“切换角色”。 图1 切换角色 在“切换角色”页面中,输入委托方的账号名称。
访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。
您可以通过在区域中创建子项目的功能,使得同区域下的各项目之间的资源相互隔离。 联合身份认证 如果您已经有自己的身份认证系统,您不需要在华为云重新创建用户,可以通过身份提供商功能直接访问华为云,实现单点登录。 委托其他账号或者云服务管理资源 通过委托信任功能,您可以将自己的操作权限委托给更专业、高效的其他
如果您无法管理您的访问密钥,请联系管理员: 由管理员管理您的访问密钥,方法请参见:管理IAM用户访问密钥。 请管理员为您配置权限或修改访问密钥保护状态。如需配置权限请参见:给IAM用户授权,如需修改访问密钥状态请参见:访问密钥保护。 父主题: 密码凭证类
重置账号锁定计数器的时间:默认为15分钟,可以在15~60分钟之间进行设置。 账号停用策略 如果IAM用户在设置的有效期内没有通过界面控制台或者API访问华为云,再次登录时将会被停用。 账号停用策略默认关闭,管理员可以选择开启,并在1~240天之间进行设置。 该策略仅对账号下的IAM用户生效,对账号
在指定策略的操作列中单击“编辑”,或者单击需要修改的策略名称,进入策略详情页。 图1 修改自定义策略 可根据需要修改“策略名称”和“策略描述”。 按可视化视图配置自定义策略方式修改策略。 单击“确定”完成修改。 删除自定义策略 如果当前自定义策略已被授权给用户组或委托,则无法删除。移除该用户组或委托中的自定义策略后,才可删除自定义策略。
基本概念 使用API涉及的常用概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号
表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。
密码中同一字符连续出现的最大次数、密码不能与历史密码相同,保证用户在修改密码时,新密码都是满足密码策略的复杂程度高的强密码。 如果您的华为云账号已升级为华为账号,密码策略将对账号不生效。 密码设置策略 图1 密码设置策略 密码至少包含字符种类(大写字母、小写字母、数字、特殊字符)默认为2种,可以在2~4种之间设置。
以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色一并授予该用户或用户组,保证权限生效。具体请参见:依赖角色的授权方法。
用户名取第一个生效规则的用户名,所有规则中必须至少有一个用户名规则生效,否则华为云不允许此用户登录;而用户组则取所有生效规则用户组名称的集合。一种比较实用的多规则配置方式是把用户名配置与用户组配置分离。这样的配置会非常容易阅读。 以下示例表示针对IdP中属于“idp_admin”用户组
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
