检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定
参数类型 描述 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 项目ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id 是
描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id
描述 domain_id 是 String 用户组所属账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 role_id
sso_type String 身份提供商类型。当前支持如下两种: virtual_user_sso:联邦登录跳转后映射为虚拟用户。 iam_user_sso:联邦登录跳转后映射为实际存在的IAM用户。 默认配置为virtual_user_sso类型。 id String 身份提供商ID。 description
基于OIDC协议的虚拟用户SSO 联邦身份认证配置概述 步骤1:创建身份提供商 步骤2:配置身份转换规则 (可选)步骤3:配置企业管理系统登录入口 父主题: 身份提供商
息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
管理员查询用户组所包含的IAM用户 GET /v3/groups/{group_id}/users iam:users:listUsersForGroup - - 查询用户组列表 GET /v3/groups iam:groups:listGroups - - 查询用户组详情 GET
String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 project_id 是 String 为用户组授权的项目ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请确保该项目与用户组中IAM用户待授权、使用的IAM项目一致。
type 是 String 自定义策略的显示模式。 说明: AX:全局服务。 XA:区域级项目。 自定义策略的显示模式只能为AX或者XA,不能同时在全局服务和区域级项目生效(AA),或者在全局服务和区域级项目都不生效(XX)。 description 是 String 自定义策略的描述信息。
总体思路 对IAM用户的权限进行安全审计,步骤如下: 查询用户组列表; 查询全局服务中的用户组权限; 查询项目服务中的用户组权限; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。 涉及的接口如下: 查询用户组列表 查询全局服务中的用户组权限 查询项目服务中的用户组权限 管理员查询用户组所包含的IAM用户
g:UserId 字符串 IAM用户ID。示例参见7。 g:UserName 字符串 IAM用户名。示例参见8。 表3 其他全局条件键 全局条件键 类型 说明 g:SourceIp IP Address 请求用户的IP地址 g:SourceVpc String 请求用户的VPC ID g:SourceVpce
如何获取虚拟MFA验证码 绑定虚拟MFA并开启登录保护或操作保护后,用户在进行登录或进行敏感操作时,需要输入MFA应用程序的动态验证码,下图以登录验证为例。 此时,用户需要打开MFA应用程序,在首页查看用户已绑定账号的验证码,下图以华为云App为例。 在华为云APP界面右下角选择“我的
多个规则组合示例 多个规则组合,用户名与用户组生成方式不同。 用户名取第一个生效规则的用户名,所有规则中必须至少有一个用户名规则生效,否则华为云不允许此用户登录;而用户组则取所有生效规则用户组名称的集合。一种比较实用的多规则配置方式是把用户名配置与用户组配置分离。这样的配置会非常容易阅读。
查询IAM用户的MFA绑定信息列表 功能介绍 该接口可以用于管理员查询IAM用户的MFA绑定信息列表。 该接口可以使用全局区域的Endpoint和其他区域的Endpoint调用。IAM的Endpoint请参见:地区和终端节点。 调试 您可以在API Explorer中调试该接口。
全局区域:服务部署时不区分物理区域,为全局级服务。在全局项目中进行授权,访问该服务时,不需要切换区域。 其他区域:服务部署时通过物理区域划分,为项目级服务。在除全局区域外的其他区域中授权,仅在授权的区域生效,访问该服务时,需要先切换到对应区域。 控制台:该服务是否支持在IAM控制台进行权限管理。
自定义策略的显示模式只能为AX或者XA,不能同时在全局服务和区域级项目生效(AA),或者在全局服务和区域级项目都不生效(XX)。 policy Object 自定义策略的具体内容。 表5 role.links 参数 参数类型 描述 self String 资源链接地址。 表6 role.policy 参数 参数类型
utf8”。 X-Auth-Token 是 String 访问令牌,承载用户的身份、权限等信息。 token所需权限请参见授权项。 响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 自定义策略信息列表。
domain_id 是 String 账号ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID,获取方式请参见:获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 请求参数 表2 请求Header参数 参数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
