检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效期进行设置,到期后无法重复使用,只能重新获取。
依赖角色的授权方法 由于华为云各服务之间存在业务交互关系,个别服务的角色依赖其他服务的角色实现功能。因此管理员在基于角色授权时,对于有依赖则需要授予依赖的角色才会生效。策略不存在依赖关系,不需要进行依赖授权。 操作步骤 管理员登录IAM控制台。 在用户组列表中,单击新建用户组右侧的“授权”。
改IAM用户密码重新设置用户密码。 仅在创建单个用户时适用。 首次登录时设置 系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。 如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。
服务韧性 华为云数据中心按规则部署在全球各地,所有数据中心都处于正常运营状态,无一闲置。数据中心互为灾备中心,如一地出现故障,系统在满足合规政策前提下自动将客户应用和数据转离受影响区域,保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断,华为云为所有数据中心提供灾难恢复计划。
基本概念 使用API涉及的常用概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号
IAM用户、账号与IAM用户的关系、身份凭证、虚拟MFA、用户组、授权、权限、项目、委托、企业项目。 账号 当您首次使用华为云时注册的账号,该账号是您的华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。账号统一接收所
互信关系的服务提供商SP系统,这一过程称之为单点登录。如:企业管理系统与华为云建立互信关系后,企业管理系统中的用户通过华为云提供的登录入口,使用已有的账号密码在企业管理系统中登录后,即可跳转访问华为云。华为云支持两类单点登录方式,分别是虚拟用户SSO和IAM用户SSO。 SAML
持TenantIdp。 说明: 外部系统指与华为云对接的外部企业管理系统,xaccount_type、xaccount_id、xdomain_type、xdomain_id、xuser_type、xuser_id等参数值,无法在华为云获取,请咨询企业管理员。 xuser_id 否
FS)、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录:用户从SP侧(服务提供商侧)发起登录请求,在企业与华为云联邦身份认证的过程中,服务提供商指华为云,SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方式差异较大,华为云帮助文档不做详述,具
Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。 IAM除了支持界面控制台操作外,还提供API供您调用,您可以使用本文档提供的API对
} ] } 以下策略样例表示:允许特定IAM用户(以TestUser命名开头)删除特定OBS对象(my-bucket桶my-object目录下的所有对象)。 { "Version": "1.1", "Statement": [
临时安全凭证存在有效期,可以在15分钟至24小时之间进行设置;永久安全凭证的有效期为永久,并且不能进行设置。 临时安全凭证没有数量限制;每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取;永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成,即时使用,不能嵌入
使用前必读 IAM的使用对象 IAM的使用对象为管理员: 账号:账号可以使用所有服务,包括IAM。 admin用户组中的用户:IAM默认用户组admin中的用户,可以使用所有服务,包括IAM。 授予了“Security Administrator”权限的用户:具备该权限的用户为IAM管理员,可以使用IAM。
oken。 如果您是第三方系统用户,直接使用联邦认证的用户名和密码获取Token,系统会提示密码错误。请先在华为云的登录页面,通过“忘记密码”功能,设置华为云账号密码。 前提条件 已安装并注册Postman。 如果您没有安装Postman,建议通过API Explorer获取用户Token。
为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议管理员开启云审计服务。 操作步骤 登录管理控制台。 如果您是以主账号登录华为云,请直接进行3;如果您是以IAM用户登录华为云,需要联系管理员对IAM用户授予以下权限: Security Administrator CTS FullAccess 授权方法请参见给IAM用户授权。
如需创建IAM用户,请参考:创建IAM用户。 企业子账号 企业主账号与企业子账号都是在华为云注册的账号,账号属性都为华为云账号。企业管理 > 财务管理提供多个华为云账号之间形成企业主子关系的能力,如果多个华为云账号属于同一组织架构,可以将多个华为云账号创建关联关系。 主账号可以给子账号划拨费用,并由子账号独
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见开通云审计
管理员在IAM用户列表中,单击右侧的“安全设置”,新增或者删除用户的访问密钥。 图1 管理IAM用户访问密钥 企业联邦用户不能创建访问密钥,但可以创建临时访问凭证(临时AK/SK和SecuritityToken),具体内容请参见:临时访问密钥。 IAM提供的“安全设置”功能,适用于管理员管理IA
获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。 “项目”列的内容即为所属区域对应的ID。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
