检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。 选择“操作”,根据需求勾选产品权限。 (可选)选择资源类型,如选择“特定资源”可以单击
规划委托需要的系统权限,并确认权限是否有依赖,如果有,需要同时设置依赖的权限。 操作步骤 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 在创建委托页面,设置“委托名称”。 图2 委托名称 “委托类型”选择“普通账号
ReadOnlyAccess的用户和用户组,只拥有IAM服务数据的只读权限。IAM也支持自定义策略划分IAM服务权限。 IAM权限 ACL 设置访问控制策略,限制用户只能从特定IP地址区间、网段及VPC Endpoint登录 IAM 控制台或访问 OpenAPI。 访问控制 父主题:
name 否 String IAM用户名。 password_expires_at 否 String 密码过期时间。该值为null表示未设置密码过期时间。 格式为:password_expires_at={operator}:{timestamp}。 timestamp格式为:
Id值的Idp用户均可跳转至对应ID值的SP用户。因此,使用IAM用户SSO登录,请务必在Idp侧断言中设置IAM_SAML_Attributes_xUserId,在SP侧设置IAM用户外部身份ID。 2、IAM侧用户身份:虚拟用户SSO无法在IAM用户列表中找到Idp用户对应的
A账号登录华为云,在统一身份认证服务中,单击“委托”。 在“委托”页面,单击“创建委托”,设置“委托名称”,例如“VPC资源代运维”。 “委托类型”选择“普通账号”,在“委托的账号”中填入B公司的华为账号名称,例如“B-Company”。 设置“持续时间”为永久。 图2 创建委托 单击“完成”。 在授权的确认弹窗中,单击“立即授权”。
URI GET /v3/auth/tokens 表1 Query参数 参数 是否必选 参数类型 描述 nocatalog 否 String 如果设置该参数,返回的响应体中将不显示catalog参数。任何非空字符串都将解释为true,并使该字段生效。 请求参数 表2 请求Header参数
认证。 调用API(POST /v3.0/OS-AUTH/securitytoken/logintokens)时可以设置logintoken的有效时间,有效时间设置范围为10分钟~12小时。如果传入的值大于临时安全凭证securitytoken剩余的过期时间,则使用临时安全凭证s
系统默认密码最小长度为8位字符,在8-32位之间支持用户自定义密码长度。 至少包含以下四种字符中的两种: 大写字母、小写字母、数字和特殊字符。 必须满足账户设置中密码策略的要求。 新密码不能与当前密码相同。 email 否 String IAM用户新邮箱,需符合邮箱格式,长度小于等于255字符。 areacode
创建、修改、删除用户组、给用户组授权。 创建、修改、删除自定义策略。 创建、修改项目。 创建、修改、删除委托。 创建、修改、删除身份提供商。 设置账号安全策略。 父主题: 密码凭证类
ct或domain,填写其中任一即可。 说明: 如果您将scope设置为domain,该Token适用于全局级服务;如果将scope设置为project,该Token适用于项目级服务。 如果您将scope同时设置为project和domain,将以project参数为准,获取到项目级服务的Token。
位之间支持用户自定义密码长度。 至少包含以下四种字符中的两种: 大写字母、小写字母、数字和特殊字符。 不能包含手机号和邮箱。 必须满足账户设置中密码策略的要求。 新密码不能与当前密码相同。 enabled 否 Boolean 是否启用IAM用户。true为启用,false为停用,默认为true。
403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做更多的事情,因为该请求被设置为拒绝访问,建议直接修改该请求,不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求,不要重试该请求。 405
console:管理控制台访问。 pwd_status Boolean IAM用户密码状态。true:需要修改密码,false:正常。如果密码未设置,此字段可能不返回。 last_project_id String IAM用户退出华为云前,在控制台最后访问的项目ID,如果用户无访问记录,此字段可能不返回。
分钟。 调用API(POST /v3.0/OS-AUTH/securitytoken/logintokens)时可以设置logintoken的有效时间,有效时间设置范围为10分钟~12小时。如果传入的值大于临时安全凭证securitytoken剩余的过期时间,则使用临时安全凭证s
用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效期进行设置,到期后无法重复使用,只能重新获取。 临时访问密钥 登录保护及登录验证策略 如表2所示,除了要求用户登录出示凭证并验证合法性,IAM还提供
在IAM控制台创建云服务委托 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击“创建委托”。 在创建委托页面,设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”,在“云服务”中选择需要授权的云服务。 选择“持续时间”。 (可选)填写“委托描述”。建议填写描述信息。
修改邮件地址、手机号 user updateUser 删除用户 user deleteUser 用户在安全设置自行修改密码 user updateUserPwd 管理员设置用户密码 user updateUserPwd 修改IAM用户的登录保护状态信息 user modifyLoginProtect
是 否 AK(Access Key ID)/SK(Secret Access Key) 在“我的凭证”页面或者在“统一身份认证>用户>安全设置>访问密钥”处创建生成AK/SK API调用时进行身份认证 否 AK/SK不能直接修改,可以删除旧的AK/SK后重新创建AK/SK。 否
接口调用操作应该在一个安全的网络环境中进行(在VPN或者在租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用文本编辑器创建环境变量文件,在文件中设置用户名、密码、区域、SAML协议版本、IAM地址和端口等信息。参数说明如表1所示。 示例如下: export OS_IDENTITY_API_VERSION=3