检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
AK/SK和securitytoken的过期时间。响应参数为UTC时间格式,北京时间为UTC+8小时。 如返回: "expires_at": "2020-01-08T02:56:19.587000Z" 北京时间:2020-01-08 10:56:19.587 access String 获取的AK。 secret
ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID
例如,管理您账号中的ECS资源。 用户组 用户组是IAM用户的集合,IAM可以通过用户组功能实现用户的授权。您创建的IAM用户,加入特定用户组后,将具备对应用户组的权限。当某个IAM用户加入多个用户组时,此IAM用户同时拥有多个用户组的权限,即多个用户组权限的全集。 “admin
Administrator权限,IAM用户操作自己的访问密钥无需任何权限。 总体思路 定期轮换访问密钥(AK/SK)时,步骤如下: 创建AK/SK; 查询您所有AK/SK的创建时间(或指定AK/SK的创建时间),判断使用时间是否需要轮换; 更换新的AK/SK。 删除需要轮换的AK/SK; 涉及的接口如下: 创建永久访问密钥
AK/SK和securitytoken的过期时间。响应参数为UTC时间格式,北京时间为UTC+8小时。 如返回: "expires_at": "2020-01-08T02:56:19.587000Z" 北京时间:2020-01-08 10:56:19.587 access String 获取的AK。 secret
(MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。 本节以“华为云App”
企业管理通过创建企业项目,隔离企业不同项目之间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则
allow_address_netmasks objects 允许访问的IP地址或网段,仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges objects 允许访问的IP地址区间,仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks
使用资源产生的费用由账号支付,按照账号授予的权限使用资源。 账号与IAM用户可以类比为父子关系。 您可以通过华为账号、华为云账号、华为网站账号、华为企业合作伙伴账号登录华为云,以账号的身份使用拥有的资源和云服务。 如果您是账号创建的IAM用户或与华为云建立信任关系的第三方系统用户
查询账号登录策略 功能介绍 该接口可以用于查询账号登录策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-SEC
Postman是网页调试与辅助接口调用的工具,具有界面简洁清晰、操作方便快捷的特性,可以处理用户发送的HTTP请求,例如:GET,PUT、POST,DELETE等,支持用户修改HTTP请求中的参数并返回响应数据。 Token是用户的访问令牌,承载了用户的身份、权限等信息,用户调用API接口时,需要使用Token进行鉴权。
Integer 限定时间内允许的最大登录失败次数,取值范围[3,10]。 period_with_login_failures 否 Integer 限定时间长度(分钟),取值范围[15,60]。 session_timeout 否 Integer 登录会话失效时间(分钟),取值范围[15
查询Keystone API的版本信息 功能介绍 该接口用于查询Keystone API的版本信息。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI
除全局区域外的其他区域 √ √ x √ √ 云专线 DC 除全局区域外的其他区域 √ x x x x 虚拟专用网络 VPN 除全局区域外的其他区域 √ x x √ x 云连接 CC 除全局区域外的其他区域 √ x x √ √ VPC终端节点 VPCEP 除全局区域外的其他区域 √
系统策略更名详情 现对系统策略(即细粒度策略类型)名称进行调整,新的策略名称将于2020/2/6 22:30:00(北京时间)正式生效。本次调整仅涉及对系统策略名称的修改,不会影响您的业务,请放心使用。原始系统策略为Version 1.0,目标系统策略为Version 1.1,当前IAM兼容两个版本。
一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望
动态验证码未更新。 读取了非本账号的虚拟MFA验证码。 重新绑定虚拟MFA时,未在虚拟MFA设备中重新添加用户。 MFA验证码的生成机制和时间相关,如果手机时间和虚拟MFA设备后台服务的系统时间相差30秒以上,生成的MFA验证码将不能通过校验。 解决方法 请确保输入正确的验证码。 验证码每30
删除企业项目直接关联用户的权限 功能介绍 该接口可以用于删除企业项目直接关联用户的权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE
在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略 选择“资源类型”为“所有资源”。 配置可以提交订单的策略。 选择“允许”。
可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
