检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
列出分配给账号的权限集 功能介绍 查询分配给指定账号的权限集列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/instances/{instance_id}/permission-sets/provisioned-to-accounts
企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。 产品介绍 图说ECS 仅两个按钮时选用 立即使用 成长地图 由浅入深,带您玩转IAM身份中心 01 了解 了解IAM身份中心服务的产品优势、应用场景、约束与限制和基本概念等,有助于您更系统和准确地使用IAM身份中心。
列出用户 功能介绍 对现有用户列表执行筛选查询,最多只能返回50个结果。 URI GET /{tenant_id}/scim/v2/Users 表1 路径参数 参数 是否必选 参数类型 描述 tenant_id 是 String 租户的全局唯一标识符(ID)。 请求参数 表2 请求Header参数
什么是IAM身份中心 简介 IAM身份中心为用户提供基于华为云组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号的访问权限。管理员集中创建用户,分配登录密码,并对其进行分组管理。允许用户使用特定用户名和密码
查询用户是否为用户组成员 功能介绍 根据用户ID和用户组ID列表,查询用户是否为用户组的成员。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/is-member-in-groups
更改身份源 IAM身份中心支持基于SAML协议的单点登录,如果您已经有自己的企业管理系统,同时您的用户需要使用您账号内的云服务资源,您可以使用IAM的身份提供商功能,实现用户使用企业管理系统账号单点登录华为云,这一过程称之为联邦身份认证。关于IAM身份提供商的具体信息请参见:身份提供商。
列出用户 功能介绍 查询指定身份源下的IAM身份中心用户列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/identity-stores/{identity_store_id}/users 表1 路径参数 参数 是否必选 参数类型 描述
创建用户 功能介绍 在指定的身份源中创建一个IAM身份中心用户。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/users 表1 路径参数 参数 是否必选 参数类型 描述
列出组中的用户 功能介绍 根据用户组ID,列出用户组中的用户。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/identity-stores/{identity_store_id}/group-memberships 表1 路径参数 参数 是否必选
列出权限集预分配状态 功能介绍 查询指定实例中的权限集预分配状态列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/instances/{instance_id}/permission-sets/provisioning-statuses
创建权限集 功能介绍 在指定的IAM身份中心实例中创建一个权限集。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/instances/{instance_id}/permission-sets 表1 路径参数 参数 是否必选 参数类型 描述
列出权限集 功能介绍 查询指定实例下的权限集列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI GET /v1/instances/{instance_id}/permission-sets 表1 路径参数 参数 是否必选 参数类型 描述 instance_id
绑定用户和组 功能介绍 将用户添加到用户组中,用户和用户组必须在同一身份源下。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 URI POST /v1/identity-stores/{identity_store_id}/group-memberships 表1
云服务在IAM预置了常用授权项,称为系统策略。创建权限集时,可以直接使用这些系统策略,系统策略只能使用,不能修改。如果系统策略无法满足您的授权要求,您可以创建自定义身份策略或自定义策略,对系统策略进行扩展和补充。如需查看所有云服务的系统策略,请参见:系统权限。 单个权限集最多可以包含18个系统策略+1个自定义身份策略+1个自定义策略。
身份策略中添加基于属性的访问控制规则,以及策略示例。 例如您创建权限集时选择“OrganizationsFullAccessPolicy”系统策略,表示与此权限集关联的用户拥有组织服务的所有权限,但是您不希望某些用户拥有删除指定组织OU的权限,您可以在权限集的自定义身份策略中写入
权限集管理 添加系统身份策略 删除权限集 查询权限集详情 更新权限集 删除系统身份策略 查询自定义身份策略详情 添加自定义身份策略 删除自定义身份策略 列出权限集关联的账号 列出系统身份策略 列出权限集预分配状态 列出权限集 创建权限集 列出分配给账号的权限集 预分配权限集 查询权限集预分配状态详情
建不同的权限集,因此可以减少权限集数量,这将降低权限管理的复杂性。 使用ABAC,团队可以快速变化和成长:在创建资源时为其添加适当的标签,系统会根据用户属性自动授予新建资源的权限。 通过ABAC使用企业目录中的员工属性:您可以使用IAM身份中心配置的任何身份源的现有员工属性在华为云中做出访问控制决策。
进入“策略设置”页签,配置权限集的系统策略、自定义身份策略和自定义策略,单击“下一步”。 您可以选择仅启用身份策略,启用后系统策略列表中将仅显示身份策略,自定义策略配置框也将隐藏。 系统策略:在列表中直接选择云服务在IAM预置的系统策略,系统策略分为策略和身份策略两种类型。 自定义身份策略:如果系统身份策略
号资源的访问权限由权限集控制,且权限集可以随时修改和删除。 对接企业身份管理系统 IAM身份中心可配置基于满足条件(SAML 2.0协议)的企业身份管理系统进行单点登录(SSO),直接使用企业身份管理系统的用户,无需再创建用户,提升企业用户管理效率,降低安全风险。
自定义用户门户URL 管理员开通IAM身份中心后,系统会自动生成唯一的用户门户URL,管理员可对此URL进行自定义修改,但仅支持修改一次,修改URL完成后,后续无法对其进行再次编辑。 操作步骤 登录华为云控制台。 单击页面左上角的,选择“管理与监管 > IAM身份中心”,进入“IAM身份中心”页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
