检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。 继承所选用户组的策略:将IAM用户加入用户组,用户将拥有所选用户组的所有权限。
击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。 选择“操作”,根据需求勾选产品权限。 (可
性。如果被校验的token有效,则返回该token的详细信息。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI GET /v3/auth/tokens
如何限制IAM用户从特定IP访问控制台 通过设置访问控制,限制IAM用户只能从特定IP地址区间访问系统,提高用户信息和系统的安全性。 操作步骤 登录统一身份认证服务控制台。 在左侧导航窗格中,选择“安全设置”,单击“访问控制”页签。 访问控制仅对账号下的IAM用户生效,对账号本身不生效。
基于用户组为企业项目授权 功能介绍 该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。 该接口可以使用全局区域的域名调用,全局区域的域名为iam.myhuaweicloud.com。 根据产品迭代计划,该接口将逐步下线,推荐您使用基于用户组为企业项目授权。
置”进行操作。“安全设置”包括“基本信息”、“敏感操作”、“登录验证策略”、“密码策略”、“访问控制”。本章为您介绍“安全设置”的使用对象和如何进入“安全设置”。 使用对象 表 使用对象为安全设置中不同页签下对应的不同使用对象。 表1 使用对象 功能 使用对象 基本信息 所有IA
云提供哪些用户信息。企业IdP与华为云交互过程中,需要将企业IdP用户的相关信息发送给华为云,华为云会结合接收到的信息,确定联邦用户的身份和权限。 IAM用户SSO类型的单点登录,企业IdP必须要配置IAM_SAML_Attributes_xUserId断言。 常用的企业IdP配置参数
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户
使用委托实现跨账号的资源授权与管理 A公司和B公司是华为云注册的企业用户,分别拥有自己单独的华为账号。本文主要介绍当A账号希望将部分资源委托给B账号时,使用IAM的委托功能来实现跨账号的资源授权与管理(A账号为委托方,B账号为被委托方)。 企业需求 A账号在华为云购买了多种资源,
户组授予必要的权限,具体方法请参见:创建用户组并授权 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token。为了保障您的账号安全,密码和访问密钥建议加密存储。 企业管理员登录企业管理系统后,访问自定义代理,从用户列表中选
户访问方式,请参考:查看或修改IAM用户信息。 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token和调用API。为了保障您的账号安全,密码和访问密钥建议加密存储。 在IAM控制台左侧导航栏选择“委托”,单击右上方的“ 创建委托”。
FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB
委托其他账号或云服务管理资源 使用委托实现跨账号的资源授权与管理 在ECS上通过委托的临时访问密钥访问其他云服务
/*CreateTemporaryAccessKeyByAgency 调用通过委托获取临时访问密钥和securitytoken接口获取具有临时身份的访问密钥和securityToken。 访问密钥和securitytoken的默认有效期为900秒,即15分钟,取值范围为15分钟-24小时
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、
在控制台的“身份提供商”页面,单击“操作”列的“查看”,进入“身份提供商基本信息”页面;单击“登录链接”右侧的“”,在浏览器中打开,输入企业管理系统用户名和密码,登录成功。 图1 登录链接 查看联邦用户是否跳转至实体IAM用户。 跳转到指定区域或服务 如需指定联邦用户登录的目标页面,比如联邦用户
委托其他华为云账号管理资源 委托其他云服务管理资源 账号安全设置 账号设置(密码、手机、邮箱) 登录保护和操作保护 登录验证策略 虚拟MFA 身份提供商 身份提供商概述 创建身份提供商 联邦身份认证的基本流程和配置步骤 02 入门 快速了解统一身份认证服务在典型场景下的操作方法。 快速入门 创建用户组并授权
您可以使用“创建规则”,IAM会将您填写的身份转换规则参数转换成JSON语言;也可以单击“编辑规则”直接编写JSON语言,编辑身份转换规则的详细说明和示例请参见:身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中,单击“身份提供商”。 在身份提供商列表中,选择您创建的身份提供商,单击“修改”。
IAM用户管理 用户组管理 权限管理 自定义策略管理 委托管理 企业项目管理 安全设置 联邦身份认证管理 自定义身份代理 版本信息管理 服务和终端节点
IAM用户:由管理员在IAM中创建的用户,IAM用户可以使用账号名、IAM用户名和密码登录华为云,并根据权限使用所属账号中的资源。IAM不拥有资源,不进行独立的计费,IAM用户的权限和资源由所属账号统一控制和付费。 如果您是IAM用户,且没有绑定邮件地址或手机,将无法通过该方式找回密
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
