检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务关联委托 服务关联委托是一种特殊的委托,它与服务的业务逻辑直接相关。服务关联委托的存在是为了简化您对服务的设置流程,服务自动创建服务关联委托并附加预定义的权限,因此您不必手动创建云服务信任委托和附加服务所需权限。 服务关联委托和云服务信任委托均是一种由服务代表您执行操作的委托
混淆代理问题 混淆代理问题(Confused Deputy Problem)是一种安全漏洞,指无权限执行某项操作的主体通过操纵高权限主体间接完成该操作。为防止此类风险,华为云提供了多种措施来帮助您安全地向第三方(跨账号)或其他华为云服务(跨服务)开放账号资源的访问权限。 在委托第
前提条件 在创建信任委托前,建议管理员提前了解并规划以下内容: 了解权限的基本概念及分类。 规划委托需要的系统身份策略。 操作步骤 登录统一身份认证服务新版控制台。 在统一身份认证服务的左侧导航窗格中,选择“委托”页签,单击右上方的“创建信任委托”。 图1 创建信任委托 设置“委托名称”。
获取临时安全凭证接口说明如何调用API。该API通过切换已创建的IAM委托或者信任委托获取临时安全凭证,临时安全凭证是用户的访问令牌,承载身份与权限信息,用于调用其他API时进行请求签名。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud
用户。 操作步骤 进入统一身份认证服务新版控制台,在左侧导航栏选择“用户”页签。 单击需要删除的IAM用户操作列的“删除”,确认弹窗中删除用户的信息,输入“DELETE”。 图1 删除IAM用户 单击“确定”,删除成功。 批量删除IAM用户 进入统一身份认证服务新版控制台,在左侧导航栏选择“用户”页签。
身份认证与访问控制 身份认证 访问控制 父主题: 安全
源归属、资源使用计费的主体,账号根用户对账号所拥有的资源及云服务具有完全的访问权限。如果您需要以账号身份登录华为云,请参考: 华为账号登录:华为账号是您访问华为各网站的统一“身份标识”,您只需注册华为账号,即可访问所有华为服务。华为账号和华为云账号不同,请确认您已注册华为账号。如
IAM用户概述 IAM用户介绍 由账号管理员在IAM中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。IAM用户使用云服务资源时不进行独立的计费,由所属账号统一付费。 账号与IAM用户的关系 从概念模型上来说 账号: 资源归属、资源使用计费的主体,账号不直接使用资源。
绑定MFA设备后,账号或IAM用户登录控制台时,需要在“登录验证”页面进行MFA设备验证。 解绑MFA设备后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 操作步骤 进入IAM控制台,在左侧导航栏选择“用户”页签。 单击IAM用户名称,进入用户详情界面。 选择“安全设置”页签,找到“多因素认证设备”。
sPolicy高危系统身份策略 新版控制台 为委托授予高风险系统策略或角色 建议不要授予委托FullAccess/Tenant Administrator /Security Administrator高危系统策略或系统角色 旧版控制台 为委托授予高风险系统身份策略 建议不要授予
移除用户组权限 操作步骤 当您需要移除用户组中的某个权限,请参考以下操作: 进入统一身份认证服务新版控制台,在左侧导航栏选择“用户组”页签。 单击用户组名称,进入用户组详情页面。 图1 单击用户组名称 在“授权记录”页签,单击需要移除权限最右侧的“删除”。 图2 移除策略 在弹窗中,单击“确定”,移除用户组权限。
用户必须有身份凭证才能访问华为云。推荐使用IAM 身份中心管理这些用户,这样带来的好处是: 可以对用户进行集中管理,企业或组织成员的变动只通过一个系统完成,减少维护成本。 用户认证凭据的集中管理,不需要在许多单独的系统中创建或维护密码。 减少身份系统的数量,通过一个身份提供商管理所有用户。
用户组概述 用户组介绍 用户组是IAM用户的集合,利用用户组可以为多个IAM用户指定权限,使得管理IAM用户权限更加方便。 例如,账号默认会有一个预置的admin用户组,这个用户组是管理员用户组,拥有华为云所有资源的操作权限。加入admin用户组的用户会自动拥有管理员权限,如果有
绑定MFA设备后,账号或IAM用户登录控制台时,需要在“登录验证”页面进行MFA设备验证。 解绑MFA设备后,账号或IAM用户登录控制台时,仅需要输入账号/用户名、密码进行系统验证。 操作步骤 进入IAM控制台,在左侧导航栏选择“用户”页签。 单击IAM用户名称,进入用户详情界面。 选择“安全设置”页签,找到“多因素认证设备”。
权限管理类 在自定义身份策略中无法找到特定服务,或授权时无法找到特定服务的系统身份策略怎么办 权限没有生效怎么办 如何授予IAM用户不能支付订单、可以提交订单权限 仅使用策略进行授权但无法找到错误提示信息中的授权项 身份策略与策略如何兼容 仅使用企业项目授权但无法找到错误提示信息中的授权项
Token在安全性、权限控制灵活性上更有优势,因为STS Security Token承载了更多的上下文信息,包括但不局限于:绑定的身份策略、调用者的身份信息、会话策略、标签等内容,能表达更加丰富的认证信息,同时也使用了更加安全的加解密策略。因此更建议使用AssumeAgency A
策略规则为信任委托添加标签。标签如果不符合标签策略的规则,则可能会导致标签添加失败,请联系组织管理员了解标签策略详情。 操作步骤 进入统一身份认证服务新版控制台,在左侧导航栏选择“委托”页签。 单击已创建的信任委托名称,选择“标签”页签显示已添加的标签。 添加标签 单击左上角的“添加标签”。
meAgency API时传递的会话标签参数。 您可调用STS AssumeAgency API来获取临时安全凭证,然后使用这些安全凭证显式地调用其他华为云服务。 将临时安全凭证用于华为云SDK 要在代码中使用临时安全凭证,可以通过调用STS的AssumeAgency API,获
用户组添加/移除用户 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。通过给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 用户组添加用户 管理员在用户组列表中,单击用户组,例如“developers”右侧的“用户组管理”。 图1
管理员登录统一身份认证服务新版控制台。 在左侧导航窗格中,选择“用户”。 点击用户名称,进入指定用户的基本信息,在基本信息中查看“最近一次登录时间”。 查找未使用的访问密钥 您可以在IAM控制台的用户安全设置中查看访问密钥的最近使用时间,来确定未使用的访问密钥: 管理员登录统一身份认证服务新版控制台。
