检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图1 创建身份提供商 在弹出的“创建身份提供商”窗口中填写“名称”,选择“协议”为“OpenID Connect”,选择“状态”为“启用”,单击“确定”,创建身份提供商成功。 图2 填写身份提供商参数 身份提供商名称不能重复,建议以域名唯一标识命名。 在华为云上配置授权信息 单
密钥,您还可以设置“账号停用策略”来控制长期未使用的账号到期自动停用。 在ECS实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥
管理员在IAM用户列表中,单击右侧的“安全设置”,在“安全设置”页签,单击“登录凭证>登录密码”右侧的,重置IAM用户的登录密码。 图1 修改IAM用户密码 IAM提供的安全设置功能,适用于管理员重置IAM用户的密码。 账号自动生成的IAM用户无法通过“安全设置”修改密码,请前往“账号中心>基本信息”修改账号密码。
Client的操作只需要普通用户权限。 接口调用操作应该在一个安全的网络环境中进行(在VPN或者在租户的云服务器中),如果在不安全的网络环境中,可能会受到中间人攻击。 使用文本编辑器创建环境变量文件,在文件中设置用户名、密码、区域、SAML协议版本、IAM地址和端口等信息。参数说明如表1所示。 示例如下:
Token的使用范围,取值为project或domain,二选一即可。 说明: 如果您将scope设置为domain,该Token适用于全局级服务;如果将scope设置为project,该Token适用于项目级服务。 如果您将scope同时设置为project和domain,将以project参数为准,获取到项目级服务的Token。
Token的使用范围,取值为project或domain,二选一即可。 说明: 如果您将scope设置为domain,该Token适用于全局级服务;如果将scope设置为project,该Token适用于项目级服务。 如果您将scope同时设置为project和domain,将以project参数为准,获取到项目级服务的Token。
参见:系统权限。 如果您开通了企业管理,将不能创建IAM项目,请谨慎操作。 (如授权方式选择“继承所选用户组的策略”,无需执行此步骤)在“设置最小授权范围”页面,选择授权IAM用户使用的企业项目。 单击“确定”,完成IAM用户授权。 授权完成后,管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。
事件列表支持通过高级搜索来查询对应的操作事件,您可以在筛选器组合一个或多个筛选条件: 事件名称:输入事件的名称。 事件ID:输入事件ID。 资源名称:输入资源的名称,当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时,该字段为空。 资源ID:输入资源ID,当该资源类型无资源ID或资源创建失败时,该字段为空。
例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,IAM支持的API授权项请参见权限及授权项说明。 如表1所示,包括了IAM的所有系统权限。 表1 IAM系统权限 系统角色/策略名称 描述 类别
/v3/groups 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 该字段内容填为“application/json;charset=utf8” X-Auth-Token 是 String 访问令牌,承载用户的身份、权限等信息。
登录验证策略 进入安全设置后,选择“登录验证策略”页签,可以对会话超时策略、账号锁定策略、账号停用策略、最近登录提示、登录验证提示进行修改,登录验证策略对账号和账号中的IAM用户生效。 只有管理员可以设置登录验证策略,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。
API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域
权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示,如果您授予IAM用户弹性云服务器ECS的权限,则该IAM用户除了ECS,不能访问其他任何服务,如果尝试访问其他服务,系统将会提示没有权限。
访问密钥和securitytoken的默认有效期为900秒,即15分钟,取值范围为15分钟-24小时,这里设置有效期为3600秒,即一小时。 注意: 下一步获取自定义代理登录票据logintoken时,如果您设置了有效期,则有效期不能大于这里获取的securitytoken的剩余有效时间。 */ TokenAuthIdentity
间的资源,企业项目中可以包含多个区域的资源。企业项目还可以实现对特定云资源的授权,例如:将一台特定的ECS添加至企业项目,对企业项目进行授权后,可以控制用户仅能管理这台特定的ECS。 支持的服务 使用IAM授权的云服务。 企业管理目前支持的服务请参见支持的云服务 检查规则 用户在
用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效期进行设置,到期后无法重复使用,只能重新获取。 临时访问密钥 登录保护及登录验证策略 如表2所示,除了要求用户登录出示凭证并验证合法性,IAM还提供
《API参考》中“权限和授权项”章节。 说明: 格式为:服务名:资源类型:操作,例:vpc:ports:create。 服务名为产品名称,例如ecs、evs和vpc等,服务名仅支持小写。 资源类型和操作没有大小写,要求支持通配符号*,无需罗列全部授权项。 Effect 是 String
是否必选 参数类型 描述 domain_id 是 String 待查询的账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌,承载用户的身份、权限等信息。
是否必选 参数类型 描述 domain_id 是 String 待查询的账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 访问令牌,承载用户的身份、权限等信息。
assume_role 参数 是否必选 参数类型 描述 agency_name 是 String 委托名称,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 domain_id 否 String 委托方的账号ID。“domain_id”与“domain
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
