检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。
改自己的手机号、邮件地址、虚拟MFA设备,请参考安全设置概述。 图5 IAM用户安全设置 多因素认证设备,只能修改IAM用户的多因素认证设备,不能修改账号的多因素认证设备。 修改用户的手机、邮件地址。支持清空IAM用户的手机号和邮件地址。 修改IAM用户绑定手机号和邮件地址不可与账号、其他IAM用户重复。
该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的用户详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 该接口无法查询IAM用户的手机号、邮箱等信息。如需查询上述信息,请参见:查询IAM用户详情(推荐)。
查询用户组详情 功能介绍 该接口可以用于管理员查询用户组详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/groups/{group_id}
String 映射ID。 links Object 协议的资源链接信息。 表5 protocol.links 参数 参数类型 描述 identity_provider String 身份提供商的资源链接地址。 self String 资源链接地址。 请求示例 查询协议详情。 GET https://iam
在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略 选择“资源类型”为“所有资源”。 配置可以提交订单的策略。 选择“允许”。
缩小访问密钥权限。 请根据您的实际业务诉求,尽快缩小疑似泄露访问密钥的权限,在不影响正常业务的情况下,禁止高危操作,避免核心资产受损。在访问密钥轮转后再解除该限制。 建议禁止的高危权限,例如: 禁止该IAM用户创建新的IAM用户和授权; 禁止计算资源实例的操作,如关闭ECS、BMS服务器等; 禁止
strings 身份提供商的联邦用户ID列表。 links Object 身份提供商的资源链接信息。 表5 identity_provider.links 参数 参数类型 描述 self String 身份提供商的资源链接地址。 protocols String 协议的资源链接地址。 请求示例
最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操
使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必
String 映射ID。 links Object 协议的资源链接信息。 表7 protocol.links 参数 参数类型 描述 identity_provider String 身份提供商的资源链接地址。 self String 资源链接地址。 请求示例 更新协议。 PATCH https://iam
String 映射ID。 links Object 协议的资源链接信息。 表7 protocol.links 参数 参数类型 描述 identity_provider String 身份提供商的资源链接地址。 self String 资源链接地址。 请求示例 注册协议。 PUT https://iam
在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2 修改操作保护 在右侧弹出的“操作保护设置”页面中,选择“指定人员验证”,输入验证手机号/邮件地址、验证码。 图3 操作保护设置 单击“确定”,修改验证方式为指定人员验证。 当前验证方式为“指定人员验证” A公司管理员进入华为云“控制台”。
strings 身份提供商的联邦用户ID列表。 links Object 身份提供商的资源链接信息。 表7 identity_provider.links 参数 参数类型 描述 self String 身份提供商的资源链接地址。 protocols String 协议的资源链接地址。 请求示例
查询IAM用户详情(推荐) 功能介绍 该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
Object 自定义策略的具体内容。 表5 role.links 参数 参数类型 描述 self String 资源链接地址。 表6 role.policy 参数 参数类型 描述 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。
查询租户授权信息 功能介绍 该接口用于查询指定账号中的授权记录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-P
strings 身份提供商的联邦用户ID列表。 links Object 身份提供商的资源链接信息。 表7 identity_provider.links 参数 参数类型 描述 self String 身份提供商的资源链接地址。 protocols String 协议的资源链接地址。 请求示例
IDPmetadata中的entityID; iam.example.com :SPmetadata中获取的entityID。 该链接可打开身份提供商登录页面,根据需要输入映射规则中的用户名(支持免密登录),单击登录,跳入认证页面后按F12,单击认证页面的accept。从下图所示的POST中获取SAMLResponse。
您已开启登录保护,验证方式是“虚拟MFA”,且已解绑或重置虚拟MFA。此时,您的MFA设备和华为云的绑定关系已解除,但是登录保护依然生效,因此需要进行登录验证。 解决方法 登录华为云时,重新绑定虚拟MFA,并通过虚拟MFA进行登录验证。 单击登录验证弹窗中的“绑定虚拟MFA”,操作请参考:如何绑定虚拟MFA设备。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
