检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证
登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。
开启后,用户将在“登录验证”页面中看到公告信息。 图4 登录验证 USB KEY证书策略 设置证书过期提前提醒时间,证书过期前提醒用户及时重新申请,保障业务连续性。用户在USB KEY证书的时间内必须重新申请,否则USB KEY将会失效,无法登录云服务平台。USB KEY证书过期提前提醒时间默认为10天,可以在1~10天之间进行设置。
求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。
如果IAM用户不能登录控制台,在需要使用访问密钥或者访问密钥遗失的情况下,可以由管理员在IAM中管理IAM用户的访问密钥。 管理员在IAM用户列表中,单击右侧的“安全设置”,新增或者删除用户的访问密钥。 图1 管理IAM用户访问密钥 企业联邦用户不能创建访问密钥,但可以创建临时访问凭证(
对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。 支持配置多个,华为云默认使用第一个。 SingleSignOnService
图1 获取SAMLResponse 响应参数 表3 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的unscoped token。 表4 响应Body参数 参数 参数类型 描述 token Object 联邦认证的unscoped token信息。
X-Auth-Token和Authorization二选一,推荐使用Authorization方式,AK/SK签名认证后会生成Authorization Header。更多信息请参考AK/SK签名认证算法详解。 X-Auth-Token 否 String X-Auth-Token和Authorization二选一,拥有Agent
对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。 支持配置多个,华为云默认使用第一个。 SingleSignOnService
在“我的凭证”页面或者在“统一身份认证>用户>安全设置>访问密钥”处创建生成AK/SK API调用时进行身份认证 否 AK/SK不能直接修改,可以删除旧的AK/SK后重新创建AK/SK。 否 调用API接口时,需要使用AK/SK对请求进行签名 数据存储安全 IAM通过加密算法对用户个人敏感数据加密后进行存储。
X-Auth-Token和Authorization二选一,推荐使用Authorization方式,AK/SK签名认证后会生成Authorization Header。更多信息请参考AK/SK签名认证算法详解。 X-Auth-Token 否 String X-Auth-Token和Author
授权,使用IAM用户获取Token。 没有API访问权限:调用API前,请确保已开启编程访问。 Token是否可以被篡改:Token生成时加入了签名防篡改的机制,Token被修改后无法通过验签,防止Token被伪造。 其他相关操作 如果您开启了登录保护并设置登录保护为MFA验证,
e浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为: 用户在浏览器中打开创建身份提供商后生成的登录链接,浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的Metadata文件,构建SAML
账号在使用联邦认证功能前,需要先将Metadata文件导入到IAM中。Metadata文件是SAML 2.0协议约定的接口文件,包含访问接口地址和证书信息,请找企业管理员获取企业IdP的Metadata文件。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IA
开启后,可以通过华为云SDK V3版本即可使用非对称签名功能。 关闭非对称签名功能 关闭后会导致正在使用非对称签名功能的访问失败。 自主管理用户属性 开启自主管理用户属性 开启后,所有IAM用户可以管理自己的基本信息,可以根据场景选择IAM用户可以修改的属性信息,可以选择登录密码、手机号、邮件地址。
按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效
} } } 响应参数 表14 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token。 表15 响应Body参数 参数 参数类型 描述 token Object 获取到的Token信息。 表16 token 参数
数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √
Administrator 费用中心的管理员权限,包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明: 授权时,需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
