检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为委托授予全局服务权限 功能介绍 该接口可以用于管理员为委托授予全局服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 URL中role_id对应的权限由黑名单控制,不能是te_agency
为委托授予项目服务权限 功能介绍 该接口可以用于管理员为委托授予项目服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 URL中role_id对应的权限由黑名单控制,不能是secu_admin
为委托授予所有项目服务权限 功能介绍 该接口可以用于管理员为委托授予所有项目服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 URL中role_id对应的权限由黑名单控制,不能是te_agency
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。
绑定MFA设备 功能介绍 该接口可以用于IAM用户为自己绑定MFA设备。启用MFA后不影响已获取Token的有效性,同时无法强制忽略MFA的二次认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试
移除用户组的所有项目服务权限 功能介绍 该接口可以用于管理员移除用户组的所有项目服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE
身份提供商 查询身份提供商列表 查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
使用token方式配置自定义身份代理配置步骤 如果您的企业IdP不支持SAML、OIDC协议,可以使用自定义身份代理,通过编写代码获得华为云登录链接,使企业用户通过企业IdP验证身份后,即可登录华为云。 自定义身份代理适用于不支持SAML、OIDC的企业IdP,如果您使用了支持SAML
授权项 Token管理 权限 对应API接口 授权项(Action) IAM项目 (Project) 企业项目 (Enterprise Project) 获取委托Token POST /v3/auth/tokens iam:tokens:assume - - 访问密钥管理 权限 对应
IAM用户管理 管理员查询IAM用户列表 查询IAM用户详情(推荐) 查询IAM用户详情 查询IAM用户所属用户组 管理员查询用户组所包含的IAM用户 管理员创建IAM用户(推荐) 管理员创建IAM用户 修改IAM用户密码 修改IAM用户信息(推荐) 管理员修改IAM用户信息(推荐
委托其他云服务管理资源 由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。 当前IAM提供两种创建委托方式: 在IAM控制台创建云服务委托 以图引擎服务
解绑MFA设备 功能介绍 该接口可以用于管理员为IAM用户解绑MFA设备,或IAM用户为自己解绑MFA设备。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口
使用委托方式配置自定义身份代理配置步骤 如果您的企业IdP不支持SAML、OIDC协议,可以使用自定义身份代理,通过编写代码获得华为云登录链接,使企业用户通过企业IdP验证身份后,即可登录华为云。 自定义身份代理适用于不支持SAML、OIDC的企业IdP,如果您使用了支持SAML、
步骤2:配置身份转换规则 在IAM上创建身份提供商后,联邦用户在华为云中的用户名默认为“FederationUser”,且联邦用户仅能访问华为云,没有任何权限。您可以在IAM控制台配置身份转换规则,实现: 企业管理系统用户在华为云中显示不同的用户名。 赋予企业管理系统用户使用华为云资源的权限
构造请求 本节介绍REST API请求的组成,以调用获取IAM用户Token(使用密码)接口说明如何调用API,该API获取用户的Token,Token是用户的访问令牌,承载身份与权限信息,Token可以用于调用其他API时鉴权。 您还可以通过这个视频教程了解如何构造请求调用API
分配委托权限(被委托方操作) B公司为专业的代运维公司,当其他公司(例如A公司)与B公司创建了委托关系,即B公司为被委托方。B公司希望将其他公司委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理,本文主要介绍使用IAM的用户授权功能分配委托以及委托的细粒度授权。
访问控制 IAM服务支持通过IAM细粒度授权策略和ACL进行访问控制。 表1 IAM的访问控制 访问控制方式 简要说明 详细介绍 IAM细粒度授权策略 将IAM服务本身的权限做了角色或者细粒度划分,角色和策略明确定义了IAM服务允许或者拒绝的用户操作。例如拥有IAM ReadOnlyAccess
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证通用请求。 (推荐)AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 Token认证 Token的有效期为24小时
查询企业项目已关联用户组的权限 功能介绍 该接口用于查询指定ID的企业项目所关联用户组的权限,适用于待查询的企业项目已关联了用户组。 该接口可以使用全局区域的域名调用,全局区域的域名为iam.myhuaweicloud.com。 根据产品迭代计划,该接口将逐步下线,推荐您使用查询企业项目关联用户组的权限
移除用户组权限 操作步骤 当您需要移除用户组中的某个权限,请参考以下操作: 进入IAM控制台,在左侧导航栏选择“用户组”页签。 单击用户组名称,进入用户组详情页面。 图1 单击用户组名称 在“授权记录”页签下,单击需要移除权限最右侧的“删除”。 图2 移除策略 在弹窗中,单击“是”
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
