检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
租户侧 责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。
查询租户授权信息 功能介绍 该接口用于查询指定账号中的授权记录。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3.0/OS-P
企业管理华为云上多租户的联邦认证 场景描述 部分企业级用户在公有云上存在多账号,并且通过企业级IDP系统联邦登录至公有云对不同账号进行操作,需要提前通过API自动配置联邦认证。 本章节指导用户如何使用API调用的方式自动配置联邦认证。 前提条件 账号进行注册或导入操作需要拥有Security
具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户不进行独立的计费,由所属账号统一付费。 账号与IAM用户可以类比为父子关系,如下图所示。 图6 账号与IAM用户 IAM用户登录方法如下: 在华为云的登录页面,单击登录下方的“IAM用户”,在“IAM用户
使用资源产生的费用由账号支付,按照账号授予的权限使用资源。 账号与IAM用户可以类比为父子关系。 您可以通过华为账号、华为云账号、华为网站账号、华为企业合作伙伴账号登录华为云,以账号的身份使用拥有的资源和云服务。 如果您是账号创建的IAM用户或与华为云建立信任关系的第三方系统用户
角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 由于华为云各服务之间存在业务依赖关系,因此给用户或用户组授予角色时,需要将依赖的其他角色
255。如不设置或设置为默认值意味着您的IAM用户可以从任意地方访问华为云。 允许访问的IP地址或网段 限制用户只能从设定的IP地址或网段访问华为云,例如:10.10.10.10/32。 允许访问的VPC Endpoint 仅在“API访问”页签中可进行配置。限制用户只能从具有设定ID的VPC Endpo
的业务领域,希望将“华东-上海二”区域的VPC资源委托给B账号进行代运维。 B账号希望将A账号委托的资源分配给公司中一个或多个员工(IAM用户),进行精细的权限管理。 如果合作关系发生变更,A账号希望随时可以修改或撤销对B账号的授权。 解决方案 针对以上企业需求,可以使用IAM的委托功能来实现跨账号的资源授权与管理。
“拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低,则建议您将资源创建在同一可用区内。
查看授权记录 如果您需要查看当前账号下的所有授权关系,可以进入“权限管理>授权管理”页面。IAM权限管理为您呈现账号中的所有授权关系,支持使用“策略名”、“用户名/用户组名/委托名”、“项目区域”、“企业项目(已开启企业项目)”“主体类型”为过滤条件查看指定授权关系。 如果您已开通并使用企业
请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器(ECS)的权限 设置弹性负载均衡(ELB)的权限 设置关系型数据库(RDS)的权限 设置云硬盘(EVS)的权限 设置云监控(CES)的权限 设置云容器引擎(CCE)的权限 设置对象存储服务(OBS)的权限 设置云备份(CBR)的权限 设置虚拟私有云(VPC)的权限
参数说明 使用IAM API涉及的参数对应在控制台名称及如何获取,如表1所示。 表1 参数说明 API参数名称 控制台中文名称 控制台英文名称 如何从控制台获取 domain 账号 Account 获取账号名称和ID domain_id/租户ID 账号ID Account ID domain_name/租户名
在用户组列表中,单击新建用户组右侧的“授权”。 在授权页面进行授权时,管理员在权限列表的搜索框中搜索需要的角色。 选择角色,系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的,查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administrator”,角色内容中存在“Depends”字段
系统提示“您的管理员已设置了控制台ACL规则,禁止您所在的终端登录控制台” 可能原因:管理员在IAM控制台设置了访问控制规则,不允许您所在的IP地址区间、IP地址或网段、VPC Endpoint访问华为云。 解决方法:请联系管理员查看控制台ACL规则,从允许访问的设备登录华为云
联邦身份认证配置概述 本章为您介绍基于OIDC协议的企业IdP与华为云进行联邦身份认证的内部实现流程和配置步骤。 联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系,需要完成以下配置步骤。 创建身份提供商并创建互信关系:在企业IdP中创建OAuth 2.0凭据,在华
该接口可以用于管理员查询IAM用户详情,或IAM用户查询自己的用户详情。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 该接口无法查询IAM用户的手机号、邮箱等信息。如需查询上述信息,请参见:查询IAM用户详情(推荐)。
ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题: 权限管理
有该权限的用户不能查看AS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。 网络域运维 VPC FullAccess 虚拟私有云(VPC)的所有执行权限,包括购买VPC的权限,仅拥有该权限的用户不能查看VPC以及其他资源的总体消费
慎操作。 修改用户组中的用户 管理员在用户组列表中,单击用户组右侧的“用户组管理”。 图6 修改用户组中的用户 在“可选用户”中选择需要添加的用户。 在“已选用户”中选择移除对应用户。 系统缺省用户组“admin”,只能修改其中包含的用户,不能修改描述信息与权限。 父主题: 用户组及授权
最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
