检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。
份验证,关闭操作保护。 在“安全设置”页面,“敏感操作”页签中,单击操作保护右侧的“立即启用”。 在右侧弹窗中选择“开启”,勾选“操作员验证”或“指定人员验证”。 如选择“指定人员验证”,开启操作保护时,需要进行初次身份核验,确保指定人员验证方式可用。 操作员验证:触发敏感操作的账号或IAM用户进行二次验证。
身份认证与访问控制 身份认证 访问控制 父主题: 安全
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
数据保护技术 IAM侧 租户侧 父主题: 安全
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
如何关闭操作保护 问题描述 管理员开启操作保护后,用户在进行敏感操作时,例如删除资源、生成访问密钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面
Object IAM用户信息。该IAM用户已开启登录保护,并选择以虚拟MFA方式进行身份验证,开启/关闭登录保护方法请参见:敏感操作。 表10 auth.identity.totp.user 参数 是否必选 参数类型 描述 id 是 String 已开启虚拟MFA方式的登录保护的IAM用户ID。
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
委托管理 查询指定条件下的委托列表 查询委托详情 创建委托 修改委托 删除委托 查询全局服务中的委托权限 查询项目服务中的委托权限 为委托授予全局服务权限 为委托授予项目服务权限 查询委托是否拥有全局服务权限 查询委托是否拥有项目服务权限 移除委托的全局服务权限 移除委托的项目服务权限
xaccount_type 是 String 该字段为标识租户来源字段,默认为空。 metadata 是 String 该字段为用户IdP服务器的Metadata文件的内容。 响应参数 表4 响应Body参数 参数 参数类型 描述 message String 导入结果信息。 请求示例
查询终端节点列表 功能介绍 该接口可以用于查询终端节点列表。终端节点用来提供服务访问入口。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
如何通过API Explorer获取用户Token API Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用
本章为您介绍通过浏览器页面单点登录华为云的过程(Web SSO),如需了解通过API调用方式访问华为云,请参见:联邦身份认证管理。 注意事项 企业IdP服务器的时间需要和华为云的时间、时区一致,即都使用GMT时间(Greenwich Mean Time),否则会导致联邦身份认证失败。 由于联邦用
查询委托详情 功能介绍 该接口可以用于管理员查询委托详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-AGEN
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。
据的安全性。 最终一致性 最终一致性是指您在IAM进行的操作,如创建用户和用户组、给用户组授权等,会由于IAM通过在华为云数据中心的各个服务器之间复制数据、实现多区域的数据同步时,可能导致已提交的修改延时生效。建议您在进行操作前,确认已提交的策略修改已经生效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
