检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户登录并访问资源 用户创建完成后,用户即可使用用户名和密码通过用户门户URL登录控制台,如需访问资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通
用户登录并访问资源 将组织下的一个或多个成员账号与用户和权限集关联后,用户即可使用用户名和密码通过用户门户URL登录控制台并访问资源,资源具体的访问权限由权限集控制。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
参见支持配置的用户属性。 例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于ABAC。然后在IAM身份中心的权限集中添加一个自定义身份策略,该策略仅在用户的用户名与您分配给组织资源的标签值匹配时才授予用户访问权限。关于ABAC相关
获取指定实例的访问控制属性配置 功能介绍 返回已配置为与指定IAM身份中心实例的基于属性的访问控制(ABAC)一起使用的IAM身份中心身份源属性列表。 URI GET /v1/instances/{instance_id}/access-control-attribute-configuration
String 与您的身份源中的身份关联的属性的名称。 最小长度:1 最大长度:128 value 是 Object 用于将指定属性映射到身份源的值。 表6 value 参数 是否必选 参数类型 描述 source 是 Array of strings 用于将指定属性映射到身份源的值。 最小长度:0
objects IAM身份中心实例中ABAC配置的属性。 数组长度:0 - 20 表5 access_control_attributes 参数 是否必选 参数类型 描述 key 是 String 与您的身份源中的身份关联的属性的名称。 最小长度:1 最大长度:128 value
解除指定实例的访问控制属性配置 功能介绍 禁用指定IAM身份中心实例的基于属性的访问控制(ABAC)功能,并删除已配置的所有属性映射。 URI DELETE /v1/instances/{instance_id}/access-control-attribute-configuration
实例访问控制属性配置管理 启用指定实例的访问控制功能 获取指定实例的访问控制属性配置 更新指定实例的访问控制属性配置 解除指定实例的访问控制属性配置 父主题: API
基于属性的访问控制(ABAC) ABAC概述和配置流程 启用和配置访问控制属性 为ABAC创建权限策略 支持配置的用户属性 父主题: 多账号权限管理
用于实施ABAC时进行访问控制决策。 如果使用外部身份提供商身份源,您在IAM身份中心和外部身份提供商处均可以设置实施ABAC的用户属性,如果在两处设置的ABAC属性的属性键相同,则优先以IAM身份中心设置的属性进行访问控制决策。 表1 支持配置的用户属性 身份源 用户属性 IAM身份中心
此外,所有访问令牌都将被移除。要重新启用自动配置,您必须生成新的访问令牌。 图4 禁用自动配置 生成/删除访问令牌 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份
就是将tag-key替换为具体的属性键。 上述访问控制规则配置完成后,权限策略会根据您指定的资源标签键和属性键,对资源标签的值和属性值进行匹配校验,只有资源标签的值和属性值匹配成功的用户才会获得此权限集定义的资源访问权限。 策略示例 创建权限集的具体操作请参见:创建权限集。此处仅
户门户访问关联账号下的资源时,只能访问基于用户属性匹配标签的资源。 账号关联用户/组和权限集 用户登录并访问资源 完成以上步骤后,关联相关账号和权限集的IAM身份中心用户登录用户门户,将根据匹配的用户属性获得相应资源的访问权限。 用户登录并访问资源 父主题: 基于属性的访问控制(ABAC)
页面右下角的“下一步”。 图3 分配用户组(可选) 进入“确认创建”页面,确认配置无误后,单击页面右下角的“确定”,用户创建完成,用户列表中显示新创建的用户。 如果“5 > 密码”选择了“向用户发送一封包含密码设置说明的邮件”,界面会跳转至用户列表,用户列表中显示新创建的用户。 如果“5
登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入设置页面。 在“身份源”页签中单击“更改为IAM身份中心”,进入“更改身份源”页面。 图4 更改为IAM身份中心 请仔细阅读更改身份源会造成的影响,如您已
台后的会话持续时间。 登录时间超出设置的会话持续时间后,会话将过期,用户将自动登出,如需继续访问,需重新登录。 初始访问页面 IAM身份中心用户通过门户URL登录控制台后访问的初始页面。 例如您可以输入IAM控制台的URL,登录后将直接显示IAM控制台页面。 描述 权限集的描述信息。
MFA设备支持基于TOTP协议的APP和基于FIDO2的硬件安全密钥设备。 支持细粒度授权,让用户集中、安全以及高效地分配每个账号资源的访问权限 大型企业在云上一般有多个账号,各个账号承载业务不同,登录的企业员工的职责也不同。需要针对不同账号配置不同员工的细粒度访问权限,确保企业的资源访问安全合规。
设备中开启自动设置时间功能。 添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。 在“绑定虚拟MFA”页面输入动态码。 单击“确定”,完成绑定虚拟MFA设备的操作。 安全密钥 在 “注册安全密钥” 页面上,根据浏览器或平台显示的说明进行操作。
创建权限集 权限集是管理员创建和维护的权限模板,它定义了一个或多个IAM策略的集合。权限集简化了IAM身份中心的用户和用户组对账号访问权限的分配。可以实现批量的账号权限配置,无需再进行单独的权限配置。 创建权限集为必需操作,使用用户登录控制台访问多个账号下的资源时,必须为其关联权限集,否则登录后将无权访问任何资源。
0协议将用户/用户组信息从微软AD自动配置(同步)到IAM身份中心。您可以使用IAM身份中心生成的SCIM端点和访问令牌在微软AD中配置此连接。配置SCIM同步时,您可以在微软AD中创建用户属性与IAM身份中心中的命名属性的映射,这会使IAM身份中心和微软AD之间的预期属性相匹配。 父主题: 常用的身份提供商
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
