检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
dP)的身份保持同步,包括在外部身份提供商中进行创建、更新、删除用户等。关于如何实现SCIM的更多信息,请参见SCIM自动配置。 父主题: 外部身份提供商配置
的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 IAM身份中心部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问IAM身份中心时,不需要切换区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种
描述 instance_access_control_attribute_configuration 是 Object 指定要添加到ABAC配置的IAM身份中心身份源属性。 表4 instance_access_control_attribute_configuration 参数 是否必选
创建用户 用户登录并访问资源 配置用户门户会话的持续时间 用户组管理 创建用户组 用户组添加/移除用户 多账号权限管理 创建权限集 账号关联用户/组和权限集 启用和配置访问控制属性 为ABAC创建权限策略 身份源管理 更改身份源 自定义用户门户URL 配置外部身份提供商 多因素认证 启用MFA
请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时
单击左侧导航栏的“设置”,进入设置页面。 在“管理”页签中单击“删除”。 在弹出的确认框中勾选全部确认项,并根据提示输入此IAM身份中心的实例ID,单击“确定”,IAM身份中心配置删除成功。 图1 删除IAM身份中心配置 此操作将删除此IAM身份中心配置中的所有数据,且不可恢复,请谨慎使用。
在“基本信息”页签中配置权限集的基本信息,配置完成后,单击“下一步”。 图2 配置基本信息 表1 权限集基本信息 参数 描述 名称 权限集的名称。 自定义,不可与其他权限集名称重复。 会话持续时间 使用此权限集授权的IAM身份中心用户登录控制台后的会话持续时间。 登录时间超出设置的会话持续
IAM身份中心用户名称。 自定义,不可与其他IAM身份中心用户名重复。 密码 选择密码的生成方式。 向用户发送一封包含密码设置说明的邮件:系统通过邮件发送密码设置说明给用户,用户根据邮件说明设置密码。 生成随机的一次性密码:管理员创建用户成功后,系统会在创建成功的界面,显示自动生成的一次性密码信息
资源内容的类型。 类型:String 默认值:无。 Connection 指明与服务器的连接是长连接还是短连接。 类型:String 有效值:keep-alive | close。 默认值:无。 Date 服务器响应的时间。 类型:String 默认值:无。 X-Request-Id
在“基本信息”页签中配置权限集的基本信息,配置完成后,单击“下一步”。 图6 配置基本信息 表2 权限集基本信息 参数 描述 名称 权限集的名称。 自定义,不可与其他权限集名称重复。 会话持续时间 使用此权限集授权的IAM身份中心用户登录控制台后的会话持续时间。 登录时间超出设置的会话持续
IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 在“身份源”页签中单击“更改为外部身份提供商”,进入“更改身份源”页面。 图1 更改为外部身份提供商 在“提供商配置”页签中配置相关信息,配置完成,单击“下一步”。 服务提供商(SP)信息: 单击“下
根据企业的业务组织,在您的账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用IAM身份中心资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将IAM身份中心资源委托给更专业、高效的其他账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
如果将身份源切换为外部身份提供商,此功能需在外部身份提供商处管理和配置,在IAM身份中心将不会看到 “网络和安全” 页签。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 选择 “网络和安全” 页签。
权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配,可以实现批量的账号权限配置,无需再进行单独的权限配置。 管理账号 组织中开通并创建IAM身份中心实例的账号即为管理账号(也称管理员),此账号统一管理所有IAM身份中心用户及其访问权限。
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的命名属性的映射,这会
IAM身份中心支持使用跨域身份管理系统(SCIM)v2.0协议将用户和用户组信息从Okta自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在Okta中配置此连接。配置SCIM同步时,您可以在Okta中创建用户属性与IAM身份中心中的命名属性的映射,这会
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
为ABAC创建权限策略 概述 在您已为资源添加标签,并在IAM身份中心启用并配置访问控制属性后,您还需要在权限集的自定义身份策略中添加基于属性的访问控制规则。您可以通过PrincipalTag条件键在权限集中使用访问控制属性来创建访问控制规则,即在策略语句的Condition元素
客户端标识符和客户端密钥失效的时间。 token_endpoint String 客户端可以在其中获取访问令牌的端点。 scopes Array of strings 服务器为客户端注册的作用域列表。后续授权访问令牌时,权限都应该限制在此作用域列表的子集范围内。 请求示例 向IAM身份中心注册客户端。 POST
录的企业员工的职责也不同。需要针对不同账号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。 集中管理用户对多个账号资源的访问权限: 允许管理员使用不超过20个IAM权限策略创建权限集,实现批量的账号权限配置。 每个账号可以设置允许访问的用户和对应的权限集。 IAM身份中
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
