检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
果的所有事件,且最多导出5000条信息。 单击按钮,可以获取到事件操作记录的最新信息。 在需要查看的事件左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,单击“查看事件”,会弹出一个窗口显示该操作事件结构的详细信息。 关于事件结构的关键字段详解,请参见《云审计服务用户指南》中的事件结构和事件样例。
(SP方式)登录控制台生效,对账号本身不生效。 API访问:仅对账号下的所有IAM用户和联邦用户通过API网关访问API接口生效,修改后2小时生效。 访问控制策略最多可设置200条。 如果IAM用户或联邦用户通过代理访问华为云,需按照代理IP设置允许访问的IP地址区间/IP地址或
Token是用户的访问令牌,承载了用户的身份、权限等信息,用户调用API接口时,需要使用Token进行鉴权。 本章节指导用户如何通过Postman获取用户Token。更多参数说明请参见获取IAM用户Token。 Token的有效期 Token的有效期为24小时。建议进行缓存,避免频繁调用。使用Token前请确
操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 多因素认证主要应用在登录验证和操作保护中,开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页
本页面的所有操作允许账号和IAM用户修改。账号也可以参考基本信息管理修改登录密码、关联手机号、绑定邮件地址。 手机号和邮件地址只能绑定一个用户(IAM用户或账号),不可重复绑定。 一个用户(IAM用户或账号)仅能绑定一个手机、邮件地址、虚拟MFA设备,即为敏感操作进行二次验证的设备。 登录密码、关联手机号、绑定邮件地址
操作或添加权限。 会话超时策略 如果用户超过设置的时长未操作界面,会话将会失效,需要重新登录。 图1 会话超时策略 管理员可以设置会话超时的时长,会话超时时长默认为1个小时,可以在15分钟~24小时之间进行设置。 账号锁定策略 如果在限定时间长度内达到登录失败次数后,用户会被锁定
rityToken。 访问密钥和securitytoken的默认有效期为900秒,即15分钟,取值范围为15分钟-24小时,这里设置有效期为3600秒,即一小时。 注意: 下一步获取自定义代理登录票据logintoken时,如果您设置了有效期,则有效期不能大于这里获取的securitytoken的剩余有效时间。
系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令,系统将返回Allow决定。 如果找不到Allow指令,最终决定为Deny,鉴权结束。
管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。
管理,一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出,某些服务可以实现指定资源的迁入迁出,例如迁入迁出某一台ECS服务器。 统一身份认证服务:在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离,针对同一个区域内的资源进行分组和隔离,一个IAM项目中只能包含一个区域中的资源。
您注册华为云后,系统自动创建账号,账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问所有云服务。账号不能在IAM中修改和删除,如果您需要删除账号,可以在账号中心进行注销。 如下图所示,使用账号登录后,在IAM的“用户”中可以看到账号对应的用户,在IAM中标识为“企业管理员”。
则。 取值范围: Allow Deny Resource 否 Object 委托资源。在有其他账号与您创建了多个委托关系,即您是被委托方,需要将委托中的权限授权给不同的用户组,这些用户组中的IAM用户进行角色切换时,仅能切换到被授权的委托中,不能切换其他委托。例: "Resource":
pwd_status 否 Boolean IAM用户首次登录是否重置密码,默认需要重置。 xuser_type 否 String IAM用户在外部系统中的类型。长度小于等于64位。xuser_type如果存在,则需要与同一租户中的xaccount_type、xdomain_type校验,
自定义策略的显示模式只能为AX或者XA,不能同时在全局服务和区域级项目生效(AA),或者在全局服务和区域级项目都不生效(XX)。 说明: 如果您需要给用户组授予包含OBS操作的自定义策略,请分别创建作用范围为全局服务、区域级项目,其他参数相同的2个自定义策略,并将2个策略同时授予用户组。
程序若想要以更安全的方式访问云服务,需要获取临时访问凭证,而IAM的委托功能,则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥 如图1所示,以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证,所以应用程序需要获得委托的临时访问密钥AK、SK。应用
单击“确定”。 返回用户组列表,用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”,进入授权界面。 如果需要用户仅管理一个特定的委托,请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托,请跳过该步骤,直接执行下一步。 在选择策略页面,单击权限列表右上角“新建策略”。 输入
创建IAM用户并登录 操作场景 上一个章节已完成用户组的创建,本章节将描述A公司使用已注册的账号Company-A,给公司成员创建IAM用户“Alice”并加入用户组“开发人员组”的操作,使得它拥有独立的用户和密码,IAM用户Alice可以独立登录华为云并使用权限范围内的资源。 操作流程
资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 本章节指导用户如何使用API调用的方式轮换访问密钥,您可进一步通过编程手段完成定期自动轮换工作。 前提条件 账号管理员操作其他IAM用户的访问密钥时,需要拥有Security Admini
图3 权限配置 在授权页面中,勾选需要授予用户组的区域级项目权限,并单击“下一步”。 选择作用范围。此处选择区域项目,则还需要选择待授权的项目。 单击“确定”,完成授权。 更多有关用户组授权的内容,请参见创建用户组并授权。 切换项目或区域 登录后需要先切换区域或项目,才能访问并使用
时修改或者撤销IAM用户的使用权限。IAM用户进行资源操作时产生的费用统一计入账号中,IAM用户不需要为资源付费。 图2 账号与IAM用户 授权 授权是您将IAM用户完成具体工作需要的权限授予IAM用户,授权通过策略定义的权限生效。用户获得具体云服务的权限后,可以对云服务进行操作,例如,管理您账号中的ECS资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
