检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为根用户绑定AK/SK 使用密码访问API 未开启登录保护 未绑定MFA 为用户授予高风险系统策略或角色 为用户授予高风险系统身份策略 为委托授予高风险系统策略或角色 为委托授予高风险系统身份策略 资源 最佳实践访问分析器配置的资源类型和资源URN。 更新时间 结果生成或更新的时间。
响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。 状态码:403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误信息。
审计与监控 云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的IAM操作列表详见IAM支持
”语句,通过组织管理员配置对应的权限。 User: ${principal} is not authorized to perform: ${action} on resource: ${resource} because no service control policy allows
以下SCP示例结合了g:UserId条件键(可选),表示禁止该用户获取Token: { "Version": "5.0", "Statement": [{ "Effect": "Deny", "Action": [ "iamToken::generatePkiToken"
"、"+"、"@"、"="、"_"或"-",并以"/"结尾,例如"foo/bar/"。 default_version_id String 默认版本号。 attachment_count Integer 附加了本身份策略的实体数量。 description String 身份策略描述。 created_at
括起来并用逗号分隔,如以下示例中所示: "Action": ["iam:users:createUserV5", "iam:users:getUserV5", "iam:users:listUsersV5", "iam:users:deleteUserV5"] 基本JSON数据类型 (布尔型、数字和字符串)
临时安全凭证概述 临时安全凭证介绍 当您使用API方式访问华为云时,您可以使用Security Token Service(STS)创建临时安全凭证,并将这些临时安全凭证提供给受信任的用户,用于访问您的华为云资源。临时安全凭证的工作方式与永久访问密钥基本一致,仅存在以下差异: 临
Access Analyzer,IAA)还提供额外的身份策略检查和建议,以帮助您进一步优化身份策略。要了解有关IAM访问分析器的策略检查和可执行建议的更多信息,请参考IAM Access Analyzer策略验证。 身份策略结构 身份策略结构包括Version(身份策略版本号)和
可以根据权限代替您进行日常工作。 设置账号安全策略 通过设置登录验证策略和密码策略来提高用户信息和系统数据的安全性。 访问分析 IAM访问分析(IAM Access Analyzer)帮助您识别组织或账号中共享给外部主体的资源,未使用的密码和密钥,例如OBS桶策略、KMS密钥、I
在IAM的角色与策略权限模型中,包含系统角色、系统策略和自定义策略三种。其中,系统角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制,它并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管理要求;系统策略是对系统角色的升级,其作用效果与系统角色类似,是华为云提
创建最佳实践访问分析器 本章节介绍如何创建最佳实践访问分析器。最佳实践访问分析器创建成功后,系统将自动使用分析器分析不符合安全最佳实践的配置,并自动生成分析结果。 约束与限制 当前IAM支持在以下区域使用最佳实践访问分析器: 华北-北京四 操作步骤 登录统一身份认证服务新版控制台。
绑定MFA设备后,账号或IAM用户登录控制台时,需要在“登录验证”页面进行MFA设备验证。 解绑MFA设备后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 操作步骤 进入IAM控制台,在左侧导航栏选择“用户”页签。 单击IAM用户名称,进入用户详情界面。 选择“安全设置”页签,找到“多因素认证设备”。
绑定MFA设备后,账号或IAM用户登录控制台时,需要在“登录验证”页面进行MFA设备验证。 解绑MFA设备后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 操作步骤 进入IAM控制台,在左侧导航栏选择“用户”页签。 单击IAM用户名称,进入用户详情界面。 选择“安全设置”页签,找到“多因素认证设备”。
选择分析器 配置站内信。 开启:开启后,系统将会把分析器的分析结果推送至控制台右上角的站内信中。 关闭:系统不会将分析结果推送给站内信。 配置SMN主题。 开启:开启后,系统将通过SMN中配置的消息通知方式推送访问分析结果,如邮件、手机等。 关闭:系统不会将分析结果的变化发送通知给SMN。
身份策略包含系统身份策略和自定义身份策略。 云服务在IAM预置了常用权限,称为系统身份策略。管理员给用户组授权时,可以直接使用这些系统身份策略,系统身份策略只能使用,不能修改。如果管理员在IAM控制台给用户、用户组、委托或者信任委托授权时,无法找到特定服务的系统身份策略,原因是
Authentication (MFA) 是一种非常简单的安全实践方法,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账号和资源提供更高的安全保护。
先原则,此时对应的IAM用户将无法修改自身密码。 { "Version": "5.0", "Statement": [{ "Effect": "Deny", "Action": [ "iam:users:changePasswordV5" ] }] } 修
切换账号登录:使用已注册的华为云账号登录。单击后,跳转至“华为账号登录”页面,参照1通过其他账号登录华为云。 (如系统没有检测出注册过华为云账号,无需执行此步骤)选择华为云账号进行升级。 系统会根据您华为账号的手机号或邮件地址,检测您可能注册过的华为云账号,您可以选其一升级成为华为账号,即可使
两者有如下的区别和关系: 表1 两类授权的区别 名称 核心关系 涉及的权限 授权方式 适用场景 角色与策略授权 用户-权限-授权范围 系统角色 系统策略 自定义策略 为IAM身份授予角色或策略 核心关系为“用户-权限-授权范围”,每个用户根据所需权限和所需授权范围进行授权,无法直接
