检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该接口可以用于管理员查询IAM用户所属用户组,或IAM用户查询自己所属用户组。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/users/{user_id}/groups
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。
initiated的联邦认证方式获取unscoped token。 Unscoped token不能用来鉴权,若联邦用户需要使用token进行鉴权,请参考获取联邦认证scoped token获取scoped token。 该接口可以使用全局区域的Endpoint和其他区域的Endpoi
虚拟用户SSO:该身份提供商中的用户登录华为云后,系统为其自动创建虚拟用户信息。一个账号可以创建多个虚拟用户SSO类型的身份提供商。 IAM用户SSO:该身份提供商中的用户登录华为云后,系统根据您配置的身份转换规则为其映射实体IAM用户。一个账号下只能创建一个IAM用户SSO类型的身份提供商。 商用
initiated方式获取联邦认证Token的方法。“Client4ShibbolethIdP”脚本模拟用户在浏览器上登录企业IdP系统,通过呈现浏览器提交的表单数据和客户端实现的对比,帮助用户开发本企业IdP系统的客户端脚本。 前提条件 企业IdP服务器支持IdP Initiated方式的联邦认证。 客户
本页面的所有操作允许账号和IAM用户修改。账号也可以参考基本信息管理修改登录密码、关联手机号、绑定邮件地址。 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。 一个用户(IAM用户或账号)仅能绑定一个手机、邮件地址、虚拟MFA设备,即为敏感操作进行二次验证的设备。 登录密码、关联手机号、绑定邮件地址
校验Token的有效性 功能介绍 该接口可以用于管理员校验本账号中IAM用户token的有效性,或IAM用户校验自己token的有效性。管理员仅能校验本账号中IAM用户token的有效性,不能校验其他账号中IAM用户token的有效性。如果被校验的token有效,则返回该token的详细信息。
证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2
配置联邦身份认证,需要在企业IdP上传华为云的元数据文件(Metadata文件),并在IAM控制台上创建身份提供商、上传企业IdP的元数据文件,来建立两个系统之间的互信关系。 建立企业IdP对华为云的信任关系 在企业IdP中配置华为云的元数据文件,以建立企业IdP对华为云的信任。常用企业IdP,如Microsoft
“允许访问的IP地址区间”:限制用户只能从设定范围内的IP地址登录。 “允许访问的IP地址或网段”:限制用户只能从设定的IP地址或网段登录。 例如:10.10.10.10/32 “允许访问的IP地址区间”和“允许访问的IP地址或网段”同时设置时只要满足其中一种即可允许访问。 单击“应用”。 父主题:
如果您给IAM用户授予较高权限的系统策略,例如“FullAccess” ,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义策略,并将自定义策略的Effect设置为Deny,然后将较高权限的系统策略和自定义策略同时授予用户,根据Deny优先原则,则授权的IAM用户除了云
基于用户组为企业项目授权 功能介绍 该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。 该接口可以使用全局区域的域名调用,全局区域的域名为iam.myhuaweicloud.com。 根据产品迭代计划,该接口将逐步下线,推荐您使用基于用户组为企业项目授权。
Explorer获取用户Token API Explorer是华为云为开发者提供的一站式API解决方案的统一平台,集成华为云服务开放API,支持全量快速检索、可视化调试、帮助文档,帮助开发者快速查找、学习API和定位修复错误。 Token是用户的访问令牌,承载了用户的身份、权限等信息,用户调用API接口时,需要使用Token进行鉴权。
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职
换规则,明确企业IdP用户登录华为云后的身份和权限,例如登录华为云后的用户名、加入的用户组和拥有的访问权限。 图3 用户转换模型 登录验证:发起单点登录,测试是否能成功从企业IdP跳转登录华为云。 (可选)配置企业管理系统登录入口:将华为云的访问入口配置到企业管理系统中,用户可通
您已开启登录保护,验证方式是“虚拟MFA”,且已解绑或重置虚拟MFA。此时,您的MFA设备和华为云的绑定关系已解除,但是登录保护依然生效,因此需要进行登录验证。 解决方法 登录华为云时,重新绑定虚拟MFA,并通过虚拟MFA进行登录验证。 单击登录验证弹窗中的“绑定虚拟MFA”,操作请参考:如何绑定虚拟MFA设备。
查询用户组列表; 查询全局服务中的用户组权限; 查询项目服务中的用户组权限; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。 涉及的接口如下: 查询用户组列表 查询全局服务中的用户组权限 查询项目服务中的用户组权限 管理员查询用户组所包含的IAM用户 步骤1:查询用户组列表
创建IAM用户并登录 操作场景 上一个章节已完成用户组的创建,本节将描述A公司使用已注册的账号,给公司成员创建IAM用户“Alice”并加入用户组“开发人员组”的操作,使得它拥有独立的用户和密码,IAM用户Alice可以独立登录华为云平台并使用权限范围内的资源。 操作流程 操作步骤 说明 步骤一:创建IAM用户
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
单击“手机号登录”,可以通过已绑定的手机号、账号密码登录华为云。 IAM用户登录 IAM用户是由华为云账号或管理员在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户不进行独立的计费,由所属账号统一付费。 账号与I
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
