检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
Key,简称AK/SK),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不用于登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的End
最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入应用程序中,或者进行存储,到期后无法重复使用,只能重新获取。 临时安全凭证的优势 在给外部联邦用户授权时,临时安全凭证
求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。
开启后,用户将在“登录验证”页面中看到公告信息。 图4 登录验证 USB KEY证书策略 设置证书过期提前提醒时间,证书过期前提醒用户及时重新申请,保障业务连续性。用户在USB KEY证书的时间内必须重新申请,否则USB KEY将会失效,无法登录云服务平台。USB KEY证书过期提前提醒时间默认为10天,可以在1~10天之间进行设置。
Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 如果IAM用户不能登录控制台,在需要使用访问密钥或者访问密钥遗失的情况下,
对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。 支持配置多个,华为云默认使用第一个。 SingleSignOnService
SDK)访问华为云时的身份凭证。系统通过Access Key ID识别访问用户的身份,通过Secret Access Key进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 访问密钥泄露会对您账号下的资源安全带来威胁,导致账号下的核心资产泄露,产生
账号在使用联邦认证功能前,需要先将Metadata文件导入到IAM中。Metadata文件是SAML 2.0协议约定的接口文件,包含访问接口地址和证书信息,请找企业管理员获取企业IdP的Metadata文件。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IA
对应IdP元数据文件中“<X509Certificate>” 的值。 签名证书是一份包含公钥用于验证签名的证书,为了确保安全性,建议使用长度大于等于2048位的公钥。IAM通过元数据文件中的签名证书来确认联邦身份认证过程中断言消息的可信性、完整性。 支持配置多个,华为云默认使用第一个。 SingleSignOnService
”中,单击“”,关闭访问密钥保护。 非对称签名 非对称签名功能启用时,所有用户的请求将使用派生密钥替代原始密钥(SK)做签名,对密钥提供更强的安全保护,默认关闭。 开启非对称签名功能 开启后,可以通过华为云SDK V3版本即可使用非对称签名功能。 关闭非对称签名功能 关闭后会导致正在使用非对称签名功能的访问失败。
图1 获取SAMLResponse 响应参数 表3 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的unscoped token。 表4 响应Body参数 参数 参数类型 描述 token Object 联邦认证的unscoped token信息。
X-Auth-Token和Authorization二选一,推荐使用Authorization方式,AK/SK签名认证后会生成Authorization Header。更多信息请参考AK/SK签名认证算法详解。 X-Auth-Token 否 String X-Auth-Token和Author
token must be updated”,则Token过期,需要客户端重新获取Token。 Token是否可以被篡改:Token生成时加入了签名防篡改的机制,Token被修改后无法通过验签,防止Token被伪造。 调试 您可以在API Explorer中调试该接口。 URI POST
按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效
e浏览器并安装插件“SAML Message Decoder”。 从图5中可知,联邦身份认证的步骤为: 用户在浏览器中打开创建身份提供商后生成的登录链接,浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息,查找IAM身份提供商中对应的Metadata文件,构建SAML
在“我的凭证”页面或者在“统一身份认证>用户>安全设置>访问密钥”处创建生成AK/SK API调用时进行身份认证 否 AK/SK不能直接修改,可以删除旧的AK/SK后重新创建AK/SK。 否 调用API接口时,需要使用AK/SK对请求进行签名 数据存储安全 IAM通过加密算法对用户个人敏感数据加密后进行存储。
数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密服务 DEW 除全局区域外的其他区域 √ √ x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √
} } } 响应参数 表14 响应Header参数 参数 参数类型 描述 X-Subject-Token String 签名后的Token。 表15 响应Body参数 参数 参数类型 描述 token Object 获取到的Token信息。 表16 token 参数
privateProvider 私有Provider 应用与数据集成平台 ROMA Connect graph 业务流图ID 证书管理服务(SCM) cert 证书ID 安全云脑(SecMaster) alert 告警 search 查询 playbook 剧本 workflow 流程
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
