检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
用户组添加/移除用户 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 用户组添加用户 管理员在用户组列表中,单击新建的用户组,例如“开发人员组”,右侧的“用户组管理”。 图1 用户组管理
支持配置多个,华为云默认使用第一个。 签名证书 是 对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。
开启后,用户将在“登录验证”页面中看到公告信息。 图4 登录验证 USB KEY证书策略 设置证书过期提前提醒时间,证书过期前提醒用户及时重新申请,保障业务连续性。用户在USB KEY证书的时间内必须重新申请,否则USB KEY将会失效,无法登录云服务平台。USB KEY证书过期提前提醒时间默认为10天,可以在1~10天之间进行设置。
支持IAM资源粒度授权的云服务 如果您需要授予IAM用户特定资源的相应权限,可以创建自定义策略并选择特定资源,该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时,选择资源类型并添加资源路径:OBS:*:*:bucket:TestBucket*,即可授予IAM用户以TestBucket命名开头的桶相应权限。
token所需权限请参见授权项。 响应参数 无 请求示例 添加IAM用户到用户组。 PUT https://iam.myhuaweicloud.com/v3/groups/{group_id}/users/{user_id} 响应示例 无 返回值 返回值 描述 204 添加成功。 400 参数无效。 401
支持配置多个,华为云默认使用第一个。 签名证书 是 对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。
华为账号开启登录保护 系统会对华为账号登录进行安全认证,如果您更换终端,初次登录将进行安全认证(安全手机二次验证)。如果您没有开启“双重验证”,初次登录完成后,单击“信任”,将终端添加到信任列表中,后续将无需二次认证。 操作保护 开启操作保护 开启后,账号以及账号中的IAM用户进行
获取Token后,再调用其他接口时,您需要在请求消息头中添加“X-Auth-Token”,其值即为获取到的Token。例如Token值为“ABCDEFJ....”,则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可,如下所示。 GET https://iam.cn-north-1
0凭据,在华为云平台创建身份提供商并配置授权信息,从而建立企业管理系统和华为云平台的信任关系。 配置身份转换规则:通过在华为云平台配置身份转换规则,将IdP中的用户、用户组及其访问权限映射到华为云平台。 配置企业管理系统登录入口:将华为云平台的访问入口配置到企业管理系统中,用户可通过登录企业管理系统直接访问华为云平台。
"self": "https://iam.myhuaweicloud.com/v3/OS-FEDERATION/identity_providers/ACME", "protocols": "https://iam.myhuaweicloud
选择指定区域项目,IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”,且所勾选的策略包含全局服务权限,系统自动将全局服务权限的作用范围设置为所有资源,勾选的区域项目权限的作用范围仍为指定区域项目。 说明: 不支持选择专属云DEC的区域项目。 全局服务资源
许该操作对应的授权项,方法请参考:创建自定义策略。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。 解决方法:管理员将IAM用户添加至用户组中,方法请参见:用户组添加用户。 可能原因:对于区域级服务,管理员没有在对应的区域进行授权。 解决方法:管理员在对IA
SAMLResponse 是 String 在IdP认证成功后返回的响应体。 SAMLResponse获取方式: 在浏览器的地址栏输入并跳转链接:https://idp.example.org/idp/profile/SAML2/Unsolicited/SSO?providerId=iam.example
Provider,简称SP) 服务提供商通过与身份提供商IdP建立信任关系,使用IdP提供的用户信息,为用户提供具体的服务。在企业与华为云联邦身份认证的过程中,服务提供商指华为云。 联邦身份认证 身份提供商IdP与服务提供商SP建立信任关系并完成交互流程,实现用户单点登录的过程,称之为联邦身份认证。
无需特殊权限)。 X-Subject-Token 是 String 待校验的token。 请求示例 校验Token的有效性。 GET https://iam.myhuaweicloud.com/v3/auth/tokens 响应参数 表3 响应Header参数 参数 参数类型 描述
根据右侧弹出的绑定虚拟MFA页面,在您的MFA应用程序中添加用户。 图2 绑定虚拟MFA 您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA: 扫描二维码 打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-扫码添加”,扫描“绑定虚拟MFA”
通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权,只需规划用户组,并将对应权限授予用户组,然后将用户添加至用户组中,用户就继承了用户组的权限。如果用户权限变更,只需在用户组中删除用户或将用户添加进其他用户组,实现快捷的用户授权。 区域内资源隔离 您可以通过在区域中创建子项目的功能,使得同区域下的各项目之间的资源相互隔离。
单击“获取验证码”并输入验证码,单击“确定”。 如您注册时,同时绑定手机号和邮件地址,您还可以切换邮件地址进行身份验证。 在“是否信任此浏览器?”弹框中,单击“信任”。 在“账号提醒”弹框中,单击“直接开通华为云”或“切换账号登录”。 直接开通华为云:为该华为账号开通华为云业务。开通后,
授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。当某个IAM用户加入多个用户组时,此IAM用户同时拥有多个用户组的权限,即多个用户组权限的全集。 “admin”为系统缺省提供的用户组,具有所有云服务资源的操作权限。将IAM用户加入该用户组后,IAM用户可以操作
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
