检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理员确定该用户组中的用户所需的权限。 通过查看系统权限,需要设置的权限如表1所示。其中“作用范围”由该服务的物理部署位置决定。对于项目级服务,如果在某个区域的项目中设置策略,则策略只在该项目中生效。 表1 所需权限 使用的服务 所属区域 设置策略或角色 ECS 除全局区域外的其他区域 ECS
当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2 修改操作保护 在右侧弹出的“操作保护设置”页面中,选择“
证,避免误操作带来的风险和损失。如需关闭操作保护,请按照以下步骤操作。 操作步骤 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中选择“安全设置”。 在“安全设置”页面中,选择“敏感操作”页签,单击操作保护右侧的“立即修改”。 图2
托权限的用户,可以切换角色至委托方账号中,根据权限管理委托方的资源。 前提条件 已有账号与您创建了委托关系。 您已经获取到委托方的账号名称及所创建的委托名称。 操作步骤 使用账号或者“分配委托权限”步骤中新建的用户登录华为云。 “分配委托权限”步骤中新建的用户具有管理委托的权限,可以切换角色。
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。
以B账号将委托分配给IAM用户进行管理为例,说明使用IAM的用户授权功能,实现分配委托以及对委托进行精细授权的操作方法,委托权限分配完成后,B账号中的IAM用户通过切换角色的方式,可以切换到A账号中,管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。
策略鉴权规则 用户在发起访问请求时,系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下: 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action,优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职
较大权限的用户(账号本身以及admin用户组中的成员)可以管理委托资源,如果您需要普通IAM用户帮助您管理委托,可以将管理委托的权限分配给IAM用户。 如果您有多个委托关系,可以授予IAM用户较大的委托权限,即管理所有的委托,也可以授予IAM用户精细的权限,仅管理指定的委托,即I
修改账号登录策略 功能介绍 该接口可以用于管理员修改账号登录策略。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT /v3.0/OS-
删除MFA设备 功能介绍 该接口可以用于管理员删除自己的MFA设备。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI DELETE /v3.0
动态验证码未更新。 读取了非本账号的虚拟MFA验证码。 重新绑定虚拟MFA时,未在虚拟MFA设备中重新添加用户。 MFA验证码的生成机制和时间相关,如果手机时间和虚拟MFA设备后台服务的系统时间相差30秒以上,生成的MFA验证码将不能通过校验。 解决方法 请确保输入正确的验证码。 验证码每30
托列表进行查看创建成功的委托。此时的委托将不包含任何权限。 在授权的确认弹窗中,单击“立即授权”。 勾选需要授予委托的权限,单击“下一步”,选择权限的作用范围。 给委托授权即给其他账号授权,给用户组授权即给账号中的IAM用户授权,两者操作方法相同,仅可选择的权限个数不同,授权操作请参见:给用户组授权。
基于用户组为企业项目授权 功能介绍 该接口用于给指定ID的企业项目授权,建立企业项目、用户组和权限的绑定关系。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
基本流程 通过委托信任功能,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例,讲述委托的原理及方法。A账号为委托方,B账号为被委托方。
SDK概述 本文介绍了IAM服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了IAM服务支持的SDK列表,您可以在GitHub仓库查看
该接口可以用于管理员为委托授予所有项目服务权限。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 接口约束 URL中role_id对应的权限由黑名单控制,不能是te_agency。 调试 您可以在API Explorer中调试该接口。
该接口可以用于IAM用户为自己绑定MFA设备。启用MFA后不影响已获取Token的有效性,同时无法强制忽略MFA的二次认证。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
默认情况下,新创建的IAM用户没有任何权限。如未向IAM用户授予IAM服务的相关权限,则无法访问IAM控制台。 解决方法 如果IAM用户希望能够访问IAM控制台并进行相关操作,管理员可以为其授予权限,将其加入用户组,并给用户组授予IAM的相关权限,用户组中的用户将获得用户组的权限。获得权限的IAM用户即可访问IAM控制台。
终端节点 终端节点即调用API的请求地址,不同服务在不同区域的终端节点不同,您可以从地区和终端节点中查询IAM的终端节点。 IAM的终端节点如表1所示。IAM是全局级服务,数据全局一份,在全局项目中存储,IAM所有的API都可以使用全局服务的Endpoint调用;除了全局区域外,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
