检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
更新指定实例的访问控制属性配置 功能介绍 更新可与IAM身份中心实例一起使用的IAM身份中心身份源属性,以进行基于属性的访问控制(ABAC)。 URI PUT /v1/instances/{instance_id}/access-control-attribute-configuration
见支持配置的用户属性。 例如您要根据用户的用户名分配其对组织资源的访问权限,您可以在“访问控制属性”页面上添加用户名属性用于ABAC。然后在IAM身份中心的权限集中添加一个自定义身份策略,该策略仅在用户的用户名与您分配给组织资源的标签值匹配时才授予用户访问权限。关于ABAC相关自
获取指定实例的访问控制属性配置 功能介绍 返回已配置为与指定IAM身份中心实例的基于属性的访问控制(ABAC)一起使用的IAM身份中心身份源属性列表。 URI GET /v1/instances/{instance_id}/access-control-attribute-configuration
基于属性的访问控制(ABAC) ABAC概述和配置流程 启用和配置访问控制属性 为ABAC创建权限策略 支持配置的用户属性 父主题: 多账号权限管理
启用指定实例的访问控制功能 功能介绍 启用指定实例的访问控制功能。 URI POST /v1/instances/{instance_id}/access-control-attribute-configuration 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
解除指定实例的访问控制属性配置 功能介绍 禁用指定IAM身份中心实例的基于属性的访问控制(ABAC)功能,并删除已配置的所有属性映射。 URI DELETE /v1/instances/{instance_id}/access-control-attribute-configuration
单击左侧导航栏的“总览”,在总览页面可获取用户门户URL。 管理员在创建用户时,在向用户发送的密码设置邮件中或者生成的一次性密码页面中也可以获取用户门户URL。 图1 获取用户门户URL 使用浏览器打开用户门户URL,输入用户名并单击“下一步”。 用于登录的用户名和密码在创建用户时获取。
用户登录并访问资源 用户创建完成后,用户即可使用用户名和密码通过用户门户URL登录控制台,如需访问资源,则还需关联权限集和组织下的一个或多个成员账号,这样登录后才能访问组织下账号的资源,而资源具体的访问权限由权限集控制。具体请参见创建权限集和账号关联用户/组和权限集。 管理员开通
实例访问控制属性配置管理 启用指定实例的访问控制功能 获取指定实例的访问控制属性配置 更新指定实例的访问控制属性配置 解除指定实例的访问控制属性配置 父主题: API
此外,所有访问令牌都将被移除。要重新启用自动配置,您必须生成新的访问令牌。 图4 禁用自动配置 生成/删除访问令牌 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。 单击左侧导航栏的“设置”,进入“设置”页面。 在“身份
支持配置的用户属性 IAM身份中心当前支持两种身份源:IAM身份中心和外部身份提供商。两种身份源当前支持实施ABAC的用户属性如下表所示。这些用户属性是可以在配置访问控制属性时选择的属性值,对应用户的基本信息、联系方式、工作相关信息和地址信息等,选择这些用户属性并给其赋予属性键,用于实施ABAC时进行访问控制决策。
注册MFA设备 您必须具有对用户MFA设备的物理访问权限才能注册该设备。例如,您需要为在智能手机上运行MFA设备的用户配置MFA,在这种情况下,您必须有用户的智能手机才能完成该向导。因此建议允许用户可以自行添加和管理自己的MFA设备,具体请参见允许用户自行注册MFA设备。 注册MFA设备
允许管理员集中创建用户,分配登录密码,并对其进行分组管理。 允许用户使用特定用户名和密码登录统一的用户门户网站,访问为其分配的多个账号下的资源,无需多次登录。 连接到基于SAML 2.0协议的外部身份提供商系统,例如微软AD和Okta: 允许管理员将IAM身份中心使用的SAML 2.0协议连接到外部身份提供商系统。
IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。 IAM身份中心支持连接到基于SAML
”标签的值设置为“test1”,访问控制属性“User_A”的属性值选择“${user:name}”,那么只有用户名为“test1”的用户才会获得此策略定义的权限。 对于较为复杂的授权场景,如多用户与多资源授权,可参考如下说明: 如果您需要通过此策略授予某一用户多个资源的权限,那
页签。 在“如果用户没有已注册的MFA设备”部分,根据业务需要选择用户登录时是否必须拥有已注册的MFA设备。 要求在登录时注册MFA设备 如果您希望要求尚未注册MFA设备的用户在成功进行密码身份验证后,在登录期间自行注册设备,请使用此选项。如何注册MAF设备请参见注册MFA设备。 阻止登录
这样用户登录用户门户访问关联账号下的资源时,只能访问基于用户属性匹配标签的资源。 账号关联用户/组和权限集 用户登录并访问资源 完成以上步骤后,关联相关账号和权限集的IAM身份中心用户登录用户门户,将根据匹配的用户属性获得相应资源的访问权限。 用户登录并访问资源 父主题: 基于属性的访问控制(ABAC)
般为用户的真实姓名。 (可选)进入“分配用户组(可选)”页面,勾选要加入的用户组,将用户加入到用户组。加入用户组后,用户将具备用户组的权限。配置完成后,单击页面右下角的“下一步”。 图3 分配用户组(可选) 进入“确认创建”页面,确认配置无误后,单击页面右下角的“确定”,用户创建完成,用户列表中显示新创建的用户。
(可选)进入“分配用户组(可选)”页面,勾选要加入的用户组,将用户加入到用户组。加入用户组后,用户将具备用户组的权限。配置完成后,单击页面右下角的“下一步”。 图3 分配用户组(可选) 进入“确认创建”页面,确认配置无误后,单击页面右下角的“确定”,用户创建完成,用户列表中显示新创建的用户。 如果“5 >
权限集的名称。 自定义,不可与其他权限集名称重复。 会话持续时间 使用此权限集授权的IAM身份中心用户登录控制台后的会话持续时间。 登录时间超出设置的会话持续时间后,会话将过期,用户将自动登出,如需继续访问,需重新登录。 初始访问页面 IAM身份中心用户通过门户URL登录控制台后访问的初始页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
