检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
多因素认证 什么是多因素认证 多因素认证是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。
在IAM进行操作,例如创建用户、用户组等,CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件,如下表所示。 表1 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登录失败(华为账号登录失败不记录) user loginFailed 用户登出 user
可根据需要修改“策略名称”和“策略描述”。 按可视化视图配置自定义策略方式修改策略。 单击“确定”完成修改。 删除自定义策略 如果当前自定义策略已被授权给用户组或委托,则无法删除。移除该用户组或委托中的自定义策略后,才可删除自定义策略。 管理员在IAM控制台左侧导航窗格中,选择“权限管理>权限”。 在指定策略的操作列中单击“删除”。
使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在发起访问请求时,系统根据用户被授权的访问策略中的action进行鉴权判断。检查规则如下: 图1 请求鉴权逻辑图 用户发起访问请求。 系统在用户被授予的访问权限中,优先寻找基于IAM项目授权的权限,在权限中寻找请求对应的action。
委托其他云服务管理资源 由于华为云各服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。 当前IAM提供两种创建委托方式: 在IAM控制台创建云服务委托 以图引擎服务
IAM用户 IAM用户可自行在IAM控制台绑定虚拟MFA,操作与暂未升级华为账号相同。 若管理员重置了IAM用户的虚拟MFA或IAM用户首次登录,且该IAM用户开启了登录保护并设置虚拟MFA为验证方式,则IAM用户登录过程中需要重新绑定虚拟MFA,操作如下: 以IAM用户身份登录控制台。
勾选需要授予委托的权限,单击“下一步”,选择权限的作用范围。 给委托授权即给其他账号授权,给用户组授权即给账号中的IAM用户授权,两者操作方法相同,仅可选择的权限个数不同,授权操作请参见:给用户组授权。 当前委托支持添加Security Administrator权限,但为了保障您的
配了委托权限的用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。
筛选类型按事件名称筛选时,还需选择某个具体的事件名称。 筛选类型按资源名称筛选时,还需选择或手动输入某个具体的资源名称。 操作用户:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。 事件级别:可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”,只可选择其中一项。
管理员开启操作保护后,用户在进行敏感操作时,例如删除资源、生成访问密钥等,需要操作员或指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。
withProxyPort(8080); // 使用IAM userB的domainID/ak/sk,初始化指定IAM客户端 {Service}Client,用户B的创建方式见“创建IAM用户”章节 IamClient iamClient = IamClient.newBuilder().withCredential(new
在DomainA中创建IAM用户(用户名以UserB为例),具体方法请参见:创建IAM用户。 (可选)将用户UserB加入用户组中(用户组名以GroupC为例),并为用户组授予必要的权限,具体方法请参见:创建用户组并授权 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配
查询企业项目关联的用户组 查询企业项目关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联用户组的权限 查询用户组关联的企业项目 查询用户直接关联的企业项目 查询企业项目直接关联用户 查询企业项目直接关联用户的权限 基于用户为企业项目授权 删除企业项目直接关联用户的权限 基于委托为企业项目授权
读取了非本账号的虚拟MFA验证码。 重新绑定虚拟MFA时,未在虚拟MFA设备中重新添加用户。 MFA验证码的生成机制和时间相关,如果手机时间和虚拟MFA设备后台服务的系统时间相差30秒以上,生成的MFA验证码将不能通过校验。 解决方法 请确保输入正确的验证码。 验证码每30秒自动
支持IAM资源粒度授权的云服务 如果您需要授予IAM用户特定资源的相应权限,可以创建自定义策略并选择特定资源,该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时,选择资源类型并添加资源路径:OBS:*:*:bucket:TestBucket*,即可授予IAM用户以TestBucket命名开头的桶相应权限。
Operator”权限,单击“下一步”。 自定义策略:用户仅能管理指定ID的委托,不能管理其他委托。 “Agent Operator”权限:用户可以管理所有委托。 选择授权范围方案。 单击“确定”,用户组授权完成。 创建IAM用户并加入用户组。 在用户界面,单击“创建用户”。 在创建用户界面,输入用户信息。 “访问方
找不到特定服务的IAM权限怎么办 问题描述 管理员在IAM控制台给用户组或者委托授权时,无法找到特定服务的权限。 可能原因 要设置权限的服务不支持IAM,所以无法选择该服务的权限。IAM支持的服务请参见:使用IAM授权的云服务。 搜索的服务或权限名称不正确。 解决方法 管理员通过
SDK概述 本文介绍了IAM服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看
user IAM用户 IAM user 获取IAM用户名称和ID user_id IAM用户ID IAM user ID user_name IAM用户名 IAM user name group 用户组 User group 获取用户组名称和ID group_id 用户组ID User
身份提供商 查询身份提供商列表 查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
