检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
要查看云服务所支持服务关联委托的详细情况,见系统身份策略。 请求区域控制:指云服务是否支持g:RequestedRegion条件键。当请求的目标云服务是区域级服务时,可以在身份策略的条件中设置对应的区域ID以进行控制。 表1 支持身份策略与信任委托的云服务列表 云服务 服务主体 授权项
查看身份策略内容 可以单击策略名称查看身份策略所包含的内容,从而进行选用策略。 操作步骤 在左侧导航栏选择“身份策略”,进入身份策略列表。 单击身份策略名称,可以查看身份策略的详细内容,以系统身份策略“CBRReadOnlyPolicy”为例。 图1 CBRReadOnlyPolicy策略内容
创建自定义身份策略 如果系统身份策略不满足授权要求,管理员可以创建自定义身份策略,并通过给用户组授予自定义身份策略来进行精细的访问控制,自定义身份策略是对系统身份策略的扩展和补充。 目前IAM支持以下两种方式创建自定义身份策略: 可视化视图:通过可视化视图创建自定义身份策略,无需
看,不支持修改系统身份策略版本内容。不支持删除某一个系统身份策略版本,支持删除自定义身份策略的非默认版本。 仅支持修改自定义身份策略的内容,不支持修改系统身份策略的内容。自定义身份策略最多保留5个版本。 查看身份策略版本 登录统一身份认证服务新版控制台。 在统一身份认证服务,左侧导航窗格中,选择“身份策略”。
自定义身份策略使用示例 配合较高权限系统身份策略使用 如果您给IAM用户授予较高权限的系统身份策略,例如“FullAccessV5”,但不希望IAM用户拥有某个服务的权限,例如云审计服务。您可以创建一个自定义身份策略,并将自定义身份策略的Effect设置为Deny,然后将较高权限
由用户主动或云服务代表用户创建 用户可自行删除 由用户自行配置身份策略 是 可见 服务关联委托 只能由云服务代表用户创建 需由云服务代表用户删除 用户无法配置或修改身份策略,由云服务预置系统身份策略作为最小权限 否 可见 委托链 委托链是指您使用一个信任委托来切换到另外一个信任委托的过程。
身份策略拒绝访问错误信息 当用户为通过身份策略授权某些权限或通过身份策略等显式禁止某些权限时,一般会收到IAM提供的鉴权错误提示;用户可基于鉴权错误提示明确此次访问被拒绝的原因,从而排除故障。 隐式拒绝与显式拒绝 由于鉴权导致访问被拒绝可分为两种情况:隐式拒绝和显式拒绝。 隐式拒
查询所有身份策略 功能介绍 该接口可以用于查询所有身份策略,包含系统预置身份策略和自定义身份策略。 URI GET /v5/policies 表1 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 每页显示的条目数量,范围为1到200条,默认为100条。
通过身份策略ID获取身份策略 功能介绍 该接口可以用于通过身份策略ID获取身份策略信息。 URI GET /v5/policies/{policy_id} 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度为1到64个字符,只包含字母、数字和"-"的字符串。
IAM身份策略授权参考 云服务在IAM预置了常用的权限,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。 除IAM服务外,Organizat
凭证中的tags参数。 委托链中的会话标签 您可以先切换到一个信任委托,然后使用获取的临时凭证切换到另外一个信任委托,这一过程称为委托链(Agency Chaining)。在您设置会话标签时,您可以将标签键设置为可传递,以确保这些会话标签能传递至委托链中的后续会话。请注意:信任委
GET /v5/asymmetric-signature-switch 请求参数 无 响应参数 状态码:200 表1 响应Body参数 参数 参数类型 描述 asymmetric_signature AsymmetricSignatureWithDomainId object 账号非对称签名开关信息。
/v5/asymmetric-signature-switch 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 asymmetric_signature 是 AsymmetricSignature object 设置账号是否开启非对称签名功能。 表2 AsymmetricSignature 参数
置的最大会话持续时间、以及是否为委托链调用等多种因素影响。duration_seconds参数取值范围为[900, 43200]秒,默认为3600秒,它需要小于信任委托本身设置的最大会话持续时间,如果超过最大会话持续时间则会报错。同时通过委托链调用时duration_seconds参数不能超过3600秒。
policy(可选):会话策略。会话策略用于限制信任委托的身份策略中分配的权限,最终生成的临时安全凭证的权限是信任委托的身份策略与会话策略的权限交集。 policy_ids(可选):身份策略ID列表。可以填写系统身份策略ID或者同账号下的自定义身份策略ID,同样用于限制信任委托的身份策略中分配的权限,最终生成的
API使用一个信任委托切换到另一个信任委托(称为委托链)时,源身份信息在第一次设置后便不可更改,该值会持续传递。管理员可以根据源身份的存在或值配置身份策略,以进一步控制使用信任委托执行的华为云操作。您可以决定是否必须使用该属性以及可以使用什么值。 设置源身份信息所需要的权限 要想设置源身份信息,除了需要与AssumeAgency
拒绝特定源身份信息的临时安全凭证的访问 过在身份策略的Condition元素中指定g:SourceIdentity键的值,以撤销特定源身份信息的临时安全凭证的访问权限。只要在调用AssumeAgency API时指定了源身份信息,就可以使用此方法来进行撤销。一旦设置源身份信息后,g
云服务在IAM中预置了常用授权项,统称为系统身份策略。管理员给用户授权时,可以直接使用这些系统身份策略,系统身份策略只能使用,不能修改。如需查看所有云服务的系统身份策略,请参见:系统身份策略。 如果管理员在IAM控制台给用户或者委托授权时,无法找到特定服务的系统身份策略,原因是该服务暂时不支持
责人,请参考表1 团队权限说明,为相关负责人授予相应的系统身份策略。 图2 操作流程 步骤一:创建用户组并授权 A公司管理员登录并进入华为云控制台。 在控制台页面中将鼠标移动至右上角的用户名,选择“统一身份认证”。 在统一身份认证服务的左侧导航空格中,单击“用户组”>“创建用户组”。
限,在策略中无法找到该错误提示信息中的授权项。 可能原因 支持查询所有企业项目绑定的资源列表的接口如果是由身份策略或强制访问控制策略(如服务控制策略等)显式拒绝,则提示身份策略授权项被拒绝的信息,否则会按照策略授权项错误信息返回。示例如下: IAM用户在IAM新版控制台未授权ce
