检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
责任共担模式适用于华为云IAM中的数据保护。如该模式中所述,IAM负责服务自身的安全,提供安全的数据保护机制。租户负责安全使用IAM服务,包括使用时的安全参数配置,以及企业对自身权限的拆解和授予。 出于数据保护目的,建议您参考安全使用IAM的内容更规范地使用IAM服务,以便更加妥善地保护您的数据。 父主题:
CTS支持的IAM操作列表”。用户开通云审计服务并创建和配置追踪器后,CTS开始记录操作事件用于审计,开通方法参见开通云审计服务。开通云审计服务后,可查看IAM的云审计日志,云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作,作为关
kafka Kafka实例 rocketmq RocketMQ实例 数据仓库服务(DWS) cluster 集群 弹性云服务器(ECS) instance 弹性云服务器 云硬盘(EVS) volume 云硬盘 函数工作流服务(FunctionGraph) function 函数 trigger
创建身份提供商 功能介绍 该接口可以用于管理员创建身份提供商。请创建身份提供商后,注册协议并修改身份提供商配置。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
基于SAML协议的虚拟用户SSO 基于SAML协议的虚拟用户SSO配置概述 步骤1:创建身份提供商 步骤2:配置企业Idp 步骤3:配置身份转换规则 步骤4:登录验证 (可选)步骤5:配置企业管理系统登录入口 父主题: 身份提供商
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
项目服务权限,使被委托方拥有该项目下的权限,权限在其他项目不生效。 如需修改委托权限范围为所有项目服务权限,您可以在IAM控制台为委托重新配置权限。如果您无法在控制台进行操作,请按照以下步骤为委托授予所有项目服务权限。 操作步骤 委托方登录华为云。 访问网址:API Explor
设置策略名称 “策略配置方式”选择“可视化视图”。 在“策略内容”下配置不能支付订单、可以提交订单的策略。 配置不能支付订单的策略 选择“拒绝”。 选择“云服务”为“费用中心(BSS)”。 在“操作”下打开“写”操作,选择“bss:order:pay”授权项。 图3 配置不能支付订单的策略
据,让用户更安全地访问IAM。 表1 IAM身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名
供灾难恢复计划。 华为云IAM作为基础身份认证服务,已面向全球用户服务,并在多个分区部署,具有更高的可用性、容错性和可扩展性。分区部署详情参见IAM可用分区。 父主题: 安全
查看资源 Tenant Guest 除IAM外,其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器(ECS)的所有执行权限,包括购买ECS的权限,仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况,如果需要查看消费情况,需要配合BSS Administrator使用。
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
归属以及使用计费的主体,对其所拥有的资源具有完全控制权限,可以访问华为云所有的云服务。 如果您在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您的团队或应用程序需要使用您在华为云中的资源,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户,并授予IA
本节以购买弹性云服务器ECS并将其关联至企业项目“企业项目A”为例,介绍如何为企业项目购买资源。 登录华为云控制台,单击页面左上角的,选择“计算 > 弹性云服务器 ECS”。 单击页面右上角的“购买弹性云服务器”,系统进入购买页。 图9 购买弹性云服务器 配置弹性云服务器各项信息,
FullAccess和自定义策略同时授予用户,根据Deny优先原则,则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示:拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ {
在指定策略的操作列中单击“编辑”,或者单击需要修改的策略名称,进入策略详情页。 图1 修改自定义策略 可根据需要修改“策略名称”和“策略描述”。 按可视化视图配置自定义策略方式修改策略。 单击“确定”完成修改。 删除自定义策略 如果当前自定义策略已被授权给用户组或委托,则无法删除。移除该用户组或委托中的自定义策略后,才可删除自定义策略。
Failed 未满足前提条件,服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息。
、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象,分为系统策略和自定义策略。 策略-系统策略 云服务在IAM预置了常
计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限
查询身份提供商详情 创建身份提供商 修改SAML身份提供商配置 删除SAML身份提供商 创建OpenID Connect身份提供商配置 修改OpenID Connect身份提供商配置 查询OpenID Connect身份提供商配置 父主题: 联邦身份认证管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
