检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过身份策略ID获取身份策略 功能介绍 该接口可以用于通过身份策略ID获取身份策略信息。 URI GET /v5/policies/{policy_id} 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度为1到64个字符,只包含字母、数字和"-"的字符串。
管理员可以创建用户组,并给用户组授予身份策略,使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限,例如管理员权限、只读权限,管理员可以直接使用这些系统身份策略给用户组授权,授权后,用户组中的用户就可以基于权限对云服务进行操作。如需查看所有云服务的系统身份策略,请参见:系统身份策略。 前提条件
可以使用身份策略进行授权,选择提示信息中的身份策略授权项进行授权即可。 如果只希望使用策略进行授权,需要找到身份策略授权项对应的策略授权项别名,通过在策略中授予这个身份策略授权项的别名来进行解决。 在使用第二种解决方法之前,需要先了解策略和身份策略生效逻辑,如图1所示。 图1 策略和身份策略生效逻辑 显式拒绝和隐
云数据库(TaurusDB) service.GaussDBforMySQL 企业主机安全(HSS) service.HSS 统一身份认证(IAM) service.IAM IAM身份中心(IdentityCenter) service.IdentityCenter 镜像服务(IMS) service
您可以选择显示拒绝和隐式拒绝的任意组合。例如,您可以创建以下身份策略,其中包括显示允许的操作、隐式拒绝的操作和显示拒绝的操作。该身份策略第一个statement允许所有与iam:users:*相关的操作,但没有明确允许其他操作,例如iam:agencies:*相关的操作会被隐式拒绝;而在第
Access Analyzer身份策略授权参考 云服务在IAM预置了常用授权项,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。 除IAM服
如"foo/bar/"。 policy_document 是 String 自定义身份策略或系统预置身份策略的策略文档的json格式。下面的字符= < > ( ) |是语法中的特殊字符,不包含在身份策略中。 问号?表示元素是可选的。例如sid_block?。 竖线|表示可选项,括
状态:修改IAM用户的状态,IAM用户的状态默认为启用,如果需要停止使用该IAM用户,可以将IAM用户的状态设置为“停用”。停用后,该IAM用户将无法通过任一方式访问华为云,包括控制台访问和编程访问。 描述:修改IAM用户的描述信息。 用户组 通过修改IAM用户的所属用户组可以修改用户的权限。如需修改
个IAM身份可能会被同时授予多个IAM权限,包含系统角色、系统策略、自定义策略、系统身份策略和自定义身份策略等,这些权限可以同时生效。其中,系统角色是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制,不具有可配置性,用户根据自己的业务需求实际选择即可。而系统策略、自
需要设置权限的服务不支持IAM的身份策略。所以创建自定义身份策略时无法找到特定服务,同时也没有该服务的系统身份策略。详情请参见支持身份策略与信任委托的云服务列表。 解决方法 请在管理控制台或帮助中心确认服务名称,并在身份策略授权参考查看该服务提供的系统身份策略和自定义身份策略支持的授权项。
PolicyVersion object 身份策略版本信息。 表3 PolicyVersion 参数 参数类型 描述 document String 自定义身份策略或系统预置身份策略的策略文档的json格式。下面的字符= < > ( ) |是语法中的特殊字符,不包含在身份策略中。 问号?表示元素是可选的。例如sid_block
主体使用凭证登录华为云时,IAM会对其进行身份认证,认证通过后才允许主体向华为云发送请求。每种类型的用户都要经过身份认证: IAM根用户:用于身份认证的凭证是您创建华为账号/华为云账号时的账号名与密码。 IAM用户:用于身份认证的凭证是您的账号名、IAM用户名与密码。 联邦用户:您的身份提供商会对您进行身份验证并将
2)是一项开放的用户身份验证标准,旨在提升用户登录过程中的安全性与可信度。FIDO2由W3C 的Web身份验证规范(WebAuthn API)和FIDO联盟的客户端到认证器协议(CTAP)共同构成,其中CTAP是一种应用层协议,用于支持客户端或平台(例如浏览器或操作系统)与外部认证器之
PolicyVersion objects 身份策略版本列表。 page_info PageInfo object 分页信息。 表4 PolicyVersion 参数 参数类型 描述 document String 自定义身份策略或系统预置身份策略的策略文档的json格式。下面的字符=
PolicyVersion object 身份策略版本信息。 表4 PolicyVersion 参数 参数类型 描述 document String 自定义身份策略或系统预置身份策略的策略文档的json格式。下面的字符= < > ( ) |是语法中的特殊字符,不包含在身份策略中。 问号?表示元素是可选的。例如sid_block
er:<idp-id>/<session-name> 使用此键可将发出请求的主体的URN与您在身份策略中指定的URN进行比较。 数据类型 – 字符串 值类型 – 单值 示例:将以下身份策略绑定至用户组,仅允许用户yyy进行访问。 { "Version": "5.0", "Statement":
身份策略附加至授权主体 身份策略除了可以在给IAM身份(IAM用户、用户组、委托、信任委托)授权时添加,也可以将身份策略直接附加给授权主体(本小节授权主体即IAM身份)。给IAM身份授权请参考给IAM用户授权,本章节介绍如何将身份策略附加至授权主体。 操作步骤 登录统一身份认证服务新版控制台。
按可视化视图配置自定义身份策略或JSON视图配置自定义身份策略方式修改自定义身份策略。暂不支持修改自定义身份策略名称和身份策略描述。 单击“确定”完成修改。 删除自定义策略 如果当前自定义身份策略已被授权给IAM身份,则无法删除。移除附加给IAM身份的自定义身份策略后,才可删除自定义身份策略。
Key),是您通过开发工具(API、CLI、SDK)访问华为云时的一种永久身份凭证,不能登录控制台。系统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。除了访问密钥之外,临时安全凭证也可以用于通过开发工具访问华为云
身份策略变量 身份策略变量介绍 在编写Resource或Condition的条件值时,可以使用身份策略变量作为占位符。在实际鉴权的时候,这些占位符将会被自动替换成请求上下文中指定条件键的值。 语法与替换规则 策略变量结构支持使用$前缀,后跟一对大括号{ }。在大括号内,包含想要使
