检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
部分更新用户组 功能介绍 修改现有用户组的部分属性,和管理用户组中的用户。 URI PATCH /{tenant_id}/scim/v2/Groups/{group_id} 表1 路径参数 参数 是否必选 参数类型 描述 tenant_id 是 String 租户的全局唯一标识符(ID)。
微软AD IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的
列出权限集关联的账号 功能介绍 查询与指定权限集关联的账号列表。 URI GET /v1/instances/{instance_id}/permission-sets/{permission_set_id}/accounts 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
列出权限集预分配状态 功能介绍 查询指定实例中的权限集预分配状态列表。 URI GET /v1/instances/{instance_id}/permission-sets/provisioning-statuses 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
约束与限制 使用约束 IAM身份中心依赖组织云服务定义的组织来获取成员账号信息,所以使用IAM身份中心之前,必须先开通组织云服务并创建组织,以组织管理账号登录并使用IAM身份中心。如何开通组织云服务并创建组织请参见:创建组织。 中国站的IAM身份中心无法管理国际站账号,国际站的IAM身份中心也无法管理中国站账号。
修改SAML2.0配置 身份源切换为外部身份提供商后,您可以随时修改SAML2.0的配置。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份源”页签中的“身份验证方法”列,单击“修改SAML2
列出分配给账号的权限集 功能介绍 查询分配给指定账号的权限集列表。 URI GET /v1/instances/{instance_id}/permission-sets/provisioned-to-accounts 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
查询服务提供商配置 功能介绍 查询IAM身份中心的SCIM相关配置信息。 URI GET /{tenant_id}/scim/v2/ServiceProviderConfig 表1 路径参数 参数 是否必选 参数类型 描述 tenant_id 是 String 租户的全局唯一标识符(ID)。
解绑用户和组 功能介绍 根据关联关系ID解绑用户和用户组,也就是将用户移出用户组。 URI DELETE /v1/identity-stores/{identity_store_id}/group-memberships/{membership_id} 表1 路径参数 参数 是否必选
ABAC概述和配置流程 ABAC概述 基于属性的访问控制(ABAC)是一种授权策略,该策略基于用户属性来定义权限。您可以使用IAM身份中心或外部身份提供商等不同身份源的用户属性,在IAM身份中心管理用户对华为云资源的访问权限。用户属性也可以称之为标签,使用用户属性作为标签可以帮助
应用场景 集中的身份管理,一次配置,即可安全访问多个账号的资源 大型企业在云上一般有多个账号,当前企业员工如需访问多个账号下的资源,需分别登录多个账号,或在多个账号下分别创建IAM用户来登录,维护成本高,操作效率低。通过IAM身份中心可以: 集中创建和管理用户: 允许管理员集中创
列出组中的用户 功能介绍 根据用户组ID,列出用户组中的用户。 URI GET /v1/identity-stores/{identity_store_id}/group-memberships 表1 路径参数 参数 是否必选 参数类型 描述 identity_store_id 是
外部身份提供商概述 SAML 2.0 安全断言标记语言(Secturity Assertion Markup Language 2.0,缩写为SAML 2.0)是一个由一组协议组成,用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准,是很多身份提供商
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素
支持配置的用户属性 IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
获取分配给权限集的自定义策略 功能介绍 获取分配给权限集的自定义策略。 URI GET /v1/instances/{instance_id}/permission-sets/{permission_set_id}/custom-role 表1 路径参数 参数 是否必选 参数类型
列出用户加入的组 功能介绍 根据用户ID,列出用户加入的用户组。 URI GET /v1/identity-stores/{identity_store_id}/group-memberships-for-member 表1 路径参数 参数 是否必选 参数类型 描述 identity_store_id
查询用户是否为用户组成员 功能介绍 根据用户ID和用户组ID列表,查询用户是否为用户组的成员。 URI POST /v1/identity-stores/{identity_store_id}/is-member-in-groups 表1 路径参数 参数 是否必选 参数类型 描述
启用和配置访问控制属性 操作场景 在任一身份源中实施ABAC,首先都需在IAM身份中心启用访问控制属性功能,并在其中添加需要在权限集策略中使用的用户属性来控制用户对资源的访问权限。可添加的用户属性如用户的基本信息、联系方式、工作相关信息和地址信息等。当前支持实施ABAC的用户属性请参见支持配置的用户属性。
启用指定实例的访问控制功能 功能介绍 启用指定实例的访问控制功能。 URI POST /v1/instances/{instance_id}/access-control-attribute-configuration 表1 路径参数 参数 是否必选 参数类型 描述 instance_id