检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
击“添加权限”,创建多个服务的授权语句;或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略,请创建两条自定义策略,便于授权时设置最小授权范围。 选择“操作”,根据需求勾选产品权限。 (可
步骤3:配置身份转换规则 企业IdP用户登录华为云后,华为云会根据身份转换规则,决定联邦用户的身份和拥有的权限。身份转换规则需要用户根据自身场景自定义,若不对身份转换规则进行配置,则联邦用户在华为云中的用户名默认为“FederationUser”,权限默认仅能访问华为云,没有其他任何权限。
转至华为云平台,以IAM用户的方式访问华为云。 本节为您介绍企业IdP与华为云,基于SAML协议进行IAM用户SSO联邦认证的内部实现流程和配置步骤,以及常用的企业IdP与华为云对接示例。 请确保您使用的企业IdP支持SAML 2.0协议。 联邦身份认证的配置步骤 建立企业管理系
约束与限制 一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略)上限为500个。 操作步骤 管理员登录IAM控制台。 管理员在用户列表中,单击新建的用户,右侧的“授权”。 图1 IAM用户授权 在授权页面,选择授权方式和权限。 继承所选用户组的策略:将IAM用户加入用户组,用户将拥有所选用户组的所有权限。
对IAM用户的权限进行安全审计 场景描述 企业级用户通常需要对公有云上IAM用户的权限定期进行安全审计,以确定IAM用户的权限未超出规定的范围。例如:除账号和审计员用户以外的所有IAM用户都不应该具有任何IAM的管理权限。此安全审计往往是系统定期自动检查,所以需要使用API来完成。 本章节指导用户
单击“返回”,跳转至“用户组>授权记录”页签,确认修改后的用户组权限。 图4 单击返回 修改用户组名称和描述 管理员在用户组列表中,单击用户组右侧的“编辑”,修改用户组名称和描述。 图5 修改用户组名称和描述 如果该用户组名称已配置在身份提供商的身份转换规则中,修改用户组名称将导致对应身份转换规则失效,请谨慎操作。
使用联邦身份认证前,管理员需要在企业管理系统和华为云分别为用户创建账号。 使用联邦身份认证后,企业管理员只需要在企业管理系统中为用户创建账号,用户即可同时访问两个系统,降低了人员管理成本。 用户操作方便 使用联邦身份认证前,用户访问企业管理系统和华为云时需要使用两个系统的账号登录。 使
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、
(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。 如果当前IAM用户的访问模式为编程访问或编程访问和管理控制台访问,取消编程访问可能会使IAM用户无法访问华为云服务,请谨慎修改。
一个用户基于企业项目可绑定的权限数(包括系统权限和自定义策略) 500 √ 用户组 用户组数 20 √ 用户组名的字符数 128 x 一个用户组中可添加的用户数 账号下的IAM用户数 x 一个用户组基于IAM项目可绑定的权限数(包括系统权限和自定义策略) 200 √ 一个用户组基于企业
系统会自动识别用户的账号名,用户仅需要填写用户名和密码,方便用户快速登录。 管理员在IAM控制台,复制“IAM用户登录链接”,并将链接发送给用户。 图2 IAM用户登录链接 用户在浏览器中打开复制的地址,输入“用户名/邮件地址”和“密码”,单击“登录”,完成登录。 图3 IAM用户通过链接登录
组、区域、委托的名称和ID。id和name,二选一即可。 表9 auth.scope.project 参数 是否必选 参数类型 描述 id 否 String 委托方A项目的ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。id和name,二选一即可。
进行资源操作时产生的费用账单。 账号不能在IAM中修改和删除,您可以在账号中心修改账号信息,如果您需要删除账号,可以在账号中心进行注销。 IAM用户 由账号在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户不进行独立的计费,由所属账号统一付费。
authorization_endpoint"字段的值。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 授权请求Scope 授权请求信息范围。默认必选openid。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 枚举值: openid email profile 授权请求Response
较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬
AX表示在全局项目中显示 XA表示在除全局项目外的其他项目中显示 说明: 权限的显示位置只能为AX或者XA,不能在全局项目和其他项目中都显示(AA),或者在全局项目和其他项目中都不显示(XX)。 name 是 String 权限在系统内部的名称。 policy格式说明 参数 是否必选
验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。在控制台创建访问密钥的方式请参见:访问密钥。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
户安全地访问您账号中的资源。 敏感操作 IAM提供敏感操作保护功能,包括登录保护和操作保护,在您登录控制台或者进行敏感操作时,系统将要求您进行邮箱/手机/虚拟MFA的验证码的第二次认证,为您的账号和资源提供更高的安全保护。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的
户组授予必要的权限,具体方法请参见:创建用户组并授权 将UserB的访问密钥或用户名和密码(推荐使用访问密钥)配置到企业IdP的配置文件中,以便获取用户认证token。为了保障您的账号安全,密码和访问密钥建议加密存储。 企业管理员登录企业管理系统后,访问自定义代理,从用户列表中选
IAM用户:由管理员在IAM中创建的用户,IAM用户可以使用账号名、IAM用户名和密码登录华为云,并根据权限使用所属账号中的资源。IAM不拥有资源,不进行独立的计费,IAM用户的权限和资源由所属账号统一控制和付费。 如果您是IAM用户,且没有绑定邮件地址或手机,将无法通过该方式找回密
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
