检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
用户使用,且两个项目中的资源相互隔离。 需求2:每个项目团队的成员只能访问其所在项目团队的资源,且仅拥有能够完成工作的资源使用最小权限。 需求3:A公司希望两个项目团队能够独立核算成本,项目费用一目了然。 解决方案 针对需求1:当前华为云提供的企业管理服务(EPS)和统一身份认证
进入我的凭证 在“我的凭证”界面,API凭证页签中,查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获
initiated的联邦认证方式获取SAMLResponse,并采用浏览器提交表单数据的方式,获取unscoped token。 调试 您可以在API Explorer中调试该接口。 URI POST /v3.0/OS-FEDERATION/tokens 请求参数 表1 请求Header参数
网络通讯异常可能会造成短信丢失,请重新获取或稍后再试。您也可以尝试将SIM卡移动到另一部手机,然后重试。 为了不影响您的业务操作,如果以上方法依然未能解决您的问题,建议您将验证方式修改为通过邮箱/虚拟MFA验证。 如果您的手机和邮箱均无法接收验证码,请您联系客服人员获取帮助。 无法接收邮箱验证码
登录。 IAM访问方式 您可以通过以下任何一种方式访问IAM。 管理控制台 您可以通过基于浏览器的可视化界面,即控制台访问IAM。详情请参考如何进入IAM控制台。 REST API 您可以使用IAM提供的REST API接口以编程方式访问IAM。详情请参考:API参考。
IAM用户管理类 IAM用户登录失败怎么办 如何控制IAM用户访问控制台
用户组及权限管理类 无法找到特定服务的权限怎么办 权限没有生效怎么办 IAM用户访问IAM控制台时提示没有权限怎么办 如何授予IAM用户不能支付订单、可以提交订单权限
调用说明 统一身份认证服务提供了REST(Representational State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 同时统一身份认证服务还提供多种编程语言的SDK供您使用,SDK的使用方法请参见SDK中心。 父主题: 使用前必读
止调用API的过程中Token过期导致调用API失败。重新获取Token,不影响已有Token有效性。 如果在Token有效期内进行如下操作,当前Token最长30分钟失效。 删除/停用IAM用户。 修改IAM用户密码、访问密钥。 IAM用户权限发生变化(如账号欠费无法访问云服务
重置账号锁定计数器的时间:默认为15分钟,可以在15~60分钟之间进行设置。 账号停用策略 如果IAM用户在设置的有效期内没有通过界面控制台或者API访问华为云,再次登录时将会被停用。 账号停用策略默认关闭,管理员可以选择开启,并在1~240天之间进行设置。 该策略仅对账号下的IAM用户生
源配额无法满足业务需要,您可以申请扩大配额,具体方法请参见:如何修改配额。 限制分类 限制项 限制值 是否支持修改 用户 IAM用户数 50 √ 用户名的字符数 32 x 用户可加入的用户组数 10 x 用户可创建的访问密钥(AK/SK)数 2 x 用户可绑定的虚拟MFA设备数 1
设置完成后,开发人员组仅在“华北-北京四”有访问权限,访问其它区域将提示没有权限。 图8 指定权限生效的区域 设置全局服务的权限。 勾选需要授予用户组的全局服务权限“OBS OperateAccess”,单击“下一步”。 图9 勾选OBS OperateAccess 选择授权范围方案为“全局服务资源”,单击“确定”。
√ × √ × 查询配额 √ × √ × 访问密钥保护开启的情况下,仅管理员可以管理访问密钥。IAM用户如需创建、启用/停用或删除自己的访问密钥,需要管理员关闭访问密钥保护。访问密钥保护默认关闭。 若当前IAM用户要对其他IAM用户的访问密钥进行管理,则可以参考表3为当前IAM用
该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI POST /v3/projects 请求参数 表1 请求Header参数 参数 是否必选 参数类型
以区域默认单位为项目进行授权,IAM用户可以访问您账号中该区域的所有资源。预置项目不支持删除。 如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得IAM用户仅能访问特定子项目中的资源,使得资源的权限控制更加精确。
该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。 URI PUT /v3.0/OS-MFA/mfa-devices/unbind 请求参数 表1 请求Header参数
行授权,访问该服务时,不需要切换区域。 其他区域:服务部署时通过物理区域划分,为项目级服务。在除全局区域外的其他区域中授权,仅在授权的区域生效,访问该服务时,需要先切换到对应区域。 控制台:该服务是否支持在IAM控制台进行权限管理。 API接口:该服务是否支持调用API接口进行权限管理。
和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户如何使用API调用的方式对IAM用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。 前提条件 审计员对IAM用户的权限进行安全审计时,需要拥有IAM
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
