检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击“确定”。 返回用户组列表,用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”,进入授权界面。 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步。 在选择策略页面,单击权限列表右上角“新建策略”。 输入
单击“确定”。 返回用户组列表,用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”,进入授权界面。 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步。 在选择策略页面,单击权限列表右上角“新建策略”。 输入
选择“继承所选用户组的策略”,请勾选用户需要加入的用户组。 图2 暂未开通企业项目 直接给用户授权(适用于企业项目授权):直接给IAM用户授予云服务权限。该授权方式仅在您开通企业项目后支持,如需开通请参考:开通企业项目。 选择“直接给用户授权”,请勾选需要授予用户的权限,并单击页面右下角
含多个区域的资源,且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。如果您开通了企业管理,将不能创建IAM项目。您可以通过这个视频了解使用企业项目进行资源权限管理:管理企业项目并授权。
获取方法 您是账号本身,需要为自己创建一个IAM用户,授予该用户Security Administrator权限后,调用获取用户Token接口即可获取具有Security Administrator权限的Token。 您是账号下的IAM用户,需要管理员给您授予Security
暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。 选择“操作”,根据需求勾选产品权限。 (可选)选择资源类型,如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。 支持为特定资源授权
委托其他账号或云服务管理资源 使用委托实现跨账号的资源授权与管理 在ECS上通过委托的临时访问密钥访问其他云服务
存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证的优势尤为明显,您不必给外部联邦用户授予需要定时轮换,主动撤销的永久安全凭证,而是给这些外部联邦用户授予即时使用,定时过期的临时安全凭证,提高账号的安全性,遵循权限最小化的安全实践原则。
如何获取虚拟MFA验证码 绑定虚拟MFA并开启登录保护或操作保护后,用户在进行登录或进行敏感操作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。 图5 虚拟MFA登录验证 此时,您需要打开智能设备上的虚拟MFA应用程序,查看并输入用户已绑定账号的验证码,下图以华为云App为例。
Object totp认证信息,仅在您已开启虚拟MFA方式的登录保护功能时需要填写该参数。 表6 auth.identity.password 参数 是否必选 参数类型 描述 user 是 Object 需要获取Token的IAM用户信息。 表7 auth.identity.password
自定义策略的显示模式只能为AX或者XA,不能同时在全局服务和区域级项目生效(AA),或者在全局服务和区域级项目都不生效(XX)。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请分别创建作用范围为全局服务、区域级项目,其他参数相同的2个自定义策略,并将2个策略同时授予用户组。
ID。 page 否 Integer 分页查询时数据的页数,查询值最小为1。需要与per_page同时存在。 per_page 否 Integer 分页查询时每页的数据个数,取值范围为[1,500]。需要与page同时存在。 请求参数 表2 请求Header参数 参数 是否必选 参数类型
ntent-type”。 对于获取IAM用户Token(使用密码)接口,返回如图1所示的消息头,其中“x-subject-token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 图1 获取用户Token响应消息头 响应消息体 响应
项目名称,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 page 否 Integer 分页查询时数据的页数,查询值最小为1。需要与per_page同时存在。 parent_id 否 String 如果查询自己创建的项目,则此处应填为所属区域的项目ID。 如果查询的是
Params agency_id 在控制台右上角的用户名下拉菜单中选择“统一身份认证”,进入IAM控制台,选择“委托”页签,将鼠标移动到需要查询ID的委托上,黑色框中出现的第二行为委托ID,单击委托ID右侧的直接复制 图1 agency_id domain_id 在控制台右上角
取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请确保该项目与用户组中IAM用户待授权、使用的IAM项目一致。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请使用查询指定条件下的项目列表获取名为“MOS”的项目ID,为用户组授予该项目的OBS自定义策略。
Boolean IAM用户密码状态。true:需要修改密码,false:正常。如果密码未设置,此字段可能不返回。 xuser_type 否 String IAM用户在外部系统中的类型。长度小于等于64位。xuser_type如果存在,则需要与同一租户中的xaccount_type、x
M用户、项目、用户组、区域、委托的名称和ID。 role_id 是 String 权限ID,获取方式请参见:获取权限ID。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请分别创建作用范围为全局服务、区域级项目,其他参数相同的2个自定义策略,并将2个策略同时授予用户组。
protocol 参数 是否必选 参数类型 描述 mapping_id 否 String 映射ID。身份提供商类型为iam_user_sso时,不需要绑定映射ID,无需传入此字段;否则此字段必填。 响应参数 表5 响应Body参数 参数 参数类型 描述 protocol Object 协议信息。
protocol 参数 是否必选 参数类型 描述 mapping_id 否 String 映射ID。身份提供商类型为iam_user_sso时,不需要绑定映射ID,无需传入此字段;否则此字段必填。 响应参数 表5 响应Body参数 参数 参数类型 描述 protocol Object 协议信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
