检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建ECS云服务委托。账号在IAM控制台创建委托,指定委托对象为ECS云服务。委托创建时,选择权限策略,选择可访问的资源范围,不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托,一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后,就获得了
查询服务列表 功能介绍 该接口可以用于查询服务列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/services 表1 Query参数
使用token方式创建云服务登录地址 该章节提供使用token方式创建登录华为云云服务的联邦代理登录地址的示例代码。 Java示例代码 以下示例说明了如何使用java编程的方式创建云服务登录地址FederationProxyUrl,该示例基于华为云 Java 软件开发工具包(Java
查询区域列表 功能介绍 该接口可以用于查询账号可以访问的区域列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/regions
、绑定邮件地址。 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。 一个用户(IAM用户或账号)仅能绑定一个手机、邮件地址、虚拟MFA设备,即为敏感操作进行二次验证的设备。 登录密码、关联手机号、绑定邮件地址 修改登录密码、关联手机号、绑定邮件地址类似,以修改密码为例。
查询服务详情 功能介绍 该接口可以用于查询服务详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/services/{service_id}
查询服务目录 功能介绍 该接口可以用于查询请求头中X-Auth-Token对应的服务目录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET
否 Integer 分页查询时数据的页数,查询值最小为1。需要与per_page同时存在。 parent_id 否 String 如果查询自己创建的项目,则此处应填为所属区域的项目ID。 如果查询的是系统内置项目,如cn-north-1,则此处应填为账号ID。 获取项目ID和账号I
查询所有永久访问密钥 功能介绍 该接口可以用于管理员查询IAM用户的所有永久访问密钥,或IAM用户查询自己的所有永久访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
initiated联邦认证的流程如下图所示。 图1 流程图(IdP initiated方式) 步骤说明 Client调用IdP提供的基于IdP initiated方式的登录链接,并在登录链接中设置公有云的地址,即公有云Metadata文件中的“entityID”。 Client获取IdP的登录页面
allow_address_netmasks objects 允许访问的IP地址或网段,仅在设置了允许访问的IP地址或网段才会返回此字段。 allow_ip_ranges objects 允许访问的IP地址区间,仅在设置了允许访问的IP地址区间才会返回此字段。 表9 allow_address_netmasks
据信息时需要填入的内容。 图6 某企业IdP的元数据文件 图7 根据企业IdP元数据文件手动编辑元数据 单击“确定”,保存设置信息。 相关操作 查看身份提供商信息:在身份提供商列表中,单击“查看”,可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面
objects 授权语句,描述权限的具体内容。 Version String 权限版本号。 说明: 1.0:系统预置的角色。以服务为粒度,提供有限的服务相关角色用于授权。 1.1:策略。IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。 表7 role
云,需按照代理IP设置允许访问的IP地址区间/IP地址或网段;如果IAM用户或联邦用户通过公网访问华为云,请按照公网IP进行设置。 仅支持IPv4类型的地址。 允许访问的IP地址区间 图1 允许访问的IP地址区间 限制用户只能从设定范围内的IP地址访问华为云,可以在0.0.0.0~255
进行身份认证。 表1 各云服务定义的敏感操作 类型 服务 敏感操作 计算 弹性云服务器(ECS) 关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP 裸金属服务器(BMS) 关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP 弹性伸缩(AS)
请确保您使用的企业IdP支持SAML 2.0协议。 联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系,配置流程如下。 图1 基于SAML的虚拟SSO配置流程 创建身份提供商并建立互信关系:华为云与企业IdP建立联邦认证,需要华为云平台创建一个与企业IdP对应的身份提供
下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。 华为云IAM作为基础身份认证服务,已面向全球用户服务,并在多个分区部署,具有更高的可用性、容错性和可扩展性。分区部署详情参见IAM可用分区。
如果您是管理员,在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您需要将资源分配给企业中不同的员工或者应用程序使用,为了避免分享自己的账号密码,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户。 默认情况下,新创建的IAM用户没有任何权限。管理员可以为其
按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效期进行设置,到期后无法重复使用,只能重新获取。
务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作,作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用IAM服务时,如果触发了监控列表中的关键操作,那么CTS会在记录操作日志的同时,向相关订阅者实时发送通知。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
