检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
operation_protection boolean 是否开启操作保护,取值范围true或false。 mobile String 操作保护验证指定手机号码。示例:0086-123456789。 admin_check String 是否指定人员验证。on为指定人员验证,off为操作员验证。
Directory(AD FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录:用户从SP侧(服务提供商侧)发起登录请求,在企业与华为云联邦身份认证的过程中,服务提供商指华为云,SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方
Directory(AD FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录:用户从SP侧(服务提供商侧)发起登录请求,在企业与华为云联邦身份认证的过程中,服务提供商指华为云,SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方
IAM用户登录 管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。登录方式包括IAM控制台提供的“IAM用户登录链接”。 如果登录失败,请与管理员确认用户名密码是否正确,或者重置密码 。 登录方法1:华为云登录页面 在华为云的登录页面,单击登录下方的“IAM用户”,在“
在修改身份提供商页面,选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访问:可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 管理控制台访问:用户可以使用账号密码登录到管理控制台来访问华为云。 如果您需要使用SSO方式访问华为云,应该选择此方式。
如何关闭登录验证功能 如何修改操作保护验证方式 如何关闭操作保护 如何绑定虚拟MFA设备 如何获取虚拟MFA验证码 如何解绑、重置虚拟MFA 虚拟MFA验证码校验不通过怎么办 无法接收验证码怎么办 账号被锁定怎么办 API访问控制策略不生效怎么办 解绑虚拟MFA后,登录时仍需通过虚拟MFA进行登录验证
获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。 在华为云上创建身份提供商 在IAM控制台上创建身份提供商,配置身份提供商的元数据文件后,可以在IAM中建立对企业IdP的信任关系,使得企业用户可以直接访问华为云。 进入IAM控制台,在左侧导航窗格中,选择“身份提供商”页签,单击右上方的“创建身份提供商”。
当前IAM提供两种创建委托方式: 在IAM控制台创建云服务委托 以图引擎服务 GES为例:将操作权限委托给GES,允许GES以您的身份使用其他服务,例如发生故障转移时,GES使用这个委托将您的弹性IP绑定到主GES负载均衡实例。 图1 云服务委托 在云服务控制台使用某项资源时,系统提示您自动创建委托,以完成云服务间的协同工作。
如何进入IAM控制台 登录华为云,在右上角单击“控制台”。 图1 进入控制台 在控制台页面,鼠标移动至右上方的账号名,在下拉列表中选择“统一身份认证”。 图2 进入统一身份认证 账号 您注册华为云后,系统自动创建账号,账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,
前提条件 请确保您已创建IAM用户A、用户组B,并将用户A加入用户组B中。详情请参见:创建IAM用户。 操作步骤 登录华为云控制台。 在控制台页面,鼠标移动至右上方的用户名,在下拉列表中选择“统一身份认证”。 在统一身份认证服务,左侧导航窗格中,选择“权限管理>权限”页签,单击右上方的“创建自定义策略”。
创建自定义策略 如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制,自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略: 可视化视图:通过可视化视图创建自定义策略,无需了解JSON语法,按可视化视图导
域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。 本章描述的IAM项目与企业项目不同,具体内容请参见:IAM项目和企业项目的区别。
在IAM上创建身份提供商后,联邦用户在华为云中的用户名默认为“FederationUser”,且联邦用户仅能访问华为云,没有任何权限。您可以在IAM控制台配置身份转换规则,实现: 企业管理系统用户在华为云中显示不同的用户名。 赋予企业管理系统用户使用华为云资源的权限。由于华为云权限的最小授
否 AllowUserBody object 管理员设置IAM子用户可以自主修改的属性。 mobile 否 String 操作保护验证指定手机号码,admin_check为on、scene为mobile时,必须填写。示例:0086-123456789。 admin_check 否
(Project) 企业项目 (Enterprise Project) 绑定MFA设备 PUT /v3.0/OS-MFA/mfa-devices/bind iam:mfa:bindMFADevice - - 解绑MFA设备 PUT /v3.0/OS-MFA/mfa-devices/unbind
指定人员进行验证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 A公司管理员进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。
时区一致,即都使用GMT时间(Greenwich Mean Time),否则会导致联邦身份认证失败。 由于联邦用户的身份信息(如邮件地址、手机号码)保存在企业IdP中,是企业IdP映射到华为云的虚拟用户,因此,联邦用户通过身份提供商功能访问华为云时有以下约束: 如果账号开启了敏感
步骤1:开通并创建企业项目:开通企业项目,并在企业管理服务控制台创建企业项目。 步骤2:创建IAM用户及用户组:在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户,并将IAM用户加入用户组,实现人员分组。 步骤3:企业项目与IAM用户组关联授权:在统一身份认证服务控制台为各用户组授予应有的权限
当您需要删除用户组,请参考以下操作: 进入IAM控制台,在左侧导航栏选择“用户组”页签。 在用户组列表中,单击用户组右侧的“删除”。 图1 删除用户组 在弹窗中选择“是”,删除勾选的用户组。 批量删除用户组 当您需要一次性删除多个用户组时,请参考以下操作: 进入IAM控制台,在左侧导航栏选择“用户组”页签。
操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
