检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为委托或信任委托附加身份策略 功能介绍 该接口可以用于为指定委托或信任委托附加指定身份策略。 URI POST /v5/policies/{policy_id}/attach-agency 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,
使用前必读 欢迎使用统一身份认证(Identity and Access Management,简称IAM)。IAM是提供用户身份认证、权限分配、访问控制等功能的身份管理服务,可以帮助您安全地控制对华为云资源的访问。您可以使用IAM创建以及管理用户,并使用权限来允许或拒绝他们对华为云资源的访问。
Authentication (MFA) 是一种非常简单的安全实践方法,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账号和资源提供更高的安全保护。
为IAM用户附加身份策略 功能介绍 该接口可以用于为指定IAM用户附加指定身份策略。 URI POST /v5/policies/{policy_id}/attach-user 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度
为用户组附加身份策略 功能介绍 该接口可以用于为指定用户组附加指定身份策略。 URI POST /v5/policies/{policy_id}/attach-group 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度为1
从IAM用户分离身份策略 功能介绍 该接口可以用于从指定的IAM用户分离指定身份策略。 URI POST /v5/policies/{policy_id}/detach-user 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度
获取调用者身份信息 功能介绍 获取调用者(用户,委托等)身份信息。 URI GET /v5/caller-identity 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 通过临时安全凭证调用接口时,需要提
从委托或信任委托分离身份策略 功能介绍 该接口可以用于从指定委托或信任委托中分离指定身份策略。 URI POST /v5/policies/{policy_id}/detach-agency 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,
Array of Operation objects 云服务支持的操作列表。 表3 Action 参数 参数类型 描述 name String 三段式的授权项名称,例如"iam:policies:createV5"。 access_level String 在策略中使用此授权项时授予的访问级别。
授权范围为指定企业项目 可以在策略界面直接将身份策略附加至IAM身份(用户、用户组、委托、信任委托)或从IAM身份分离 授权对象 仅支持为用户组、委托绑定系统策略、系统角色和自定义策略进行授权。开通企业项目后支持为用户直接进行系统策略、自定义策略授权,授权范围为指定企业项目 支
从用户组分离身份策略 功能介绍 该接口可以用于从指定用户组分离指定身份策略。 URI POST /v5/policies/{policy_id}/detach-group 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略ID,长度为1
] }] } 创建IAM委托:需要创建给ECS云服务的委托,并为该IAM委托绑定步骤1中创建的身份策略。 创建IAM身份策略允许获取以及传递委托给ECS,并为IAM用户张三绑定这个身份策略。在下述例子中使用了Resource元素限定了资源URN,在实际使用时您需要将其替换为实际的委托URN。
委托其他账号管理资源 基本流程 创建信任委托(委托方操作) 删除或修改委托(委托方操作) (可选)分配管理信任委托权限(被委托方操作) 切换角色(被委托方操作) 父主题: 信任委托操作管理
查询指定身份策略附加的所有实体 功能介绍 该接口可用于查询指定身份策略附加的所有实体。 URI GET /v5/policies/{policy_id}/attached-entities 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 身份策略
基本流程 通过信任委托,您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号,被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托,不能对IAM用户进行委托。 信任委托流程 如下以A账号委托B账号管理资源为例,讲述信任委托的原理及方法。A账号为委托方,B账号为被委托方。
小企业用户。 身份策略授权 用户-策略 系统身份策略 自定义身份策略 为IAM身份授予身份策略 身份策略附加至IAM身份 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型
入用户组后可以批量管理用户的权限。新创建的用户拥有独立的用户和密码,可以独立登录华为云平台并使用权限范围内的资源。 创建IAM用户 在统一身份认证服务左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。 在“创建用户”页面配置“用户名”。不支持批量创建用户。 只能包含大小写字母、空格、数字或特殊字符(-_
给IAM用户授权或创建用户组并授权,权限详情请参考身份策略授权参考。 可能原因:管理员授予的权限已拒绝相关操作的授权项。 解决方法:管理员查看已授予IAM用户的系统权限详情,确认已授予的权限是否有拒绝操作的语句,方法请参考身份策略语法。 可能原因:管理员给用户组授予权限后,忘记将IAM用户添加至用户组中。
本章节介绍如何创建最佳实践访问分析器。最佳实践访问分析器创建成功后,系统将自动使用分析器分析不符合安全最佳实践的配置,并自动生成分析结果。 约束与限制 当前IAM支持在以下区域使用最佳实践访问分析器: 华北-北京四 操作步骤 登录统一身份认证服务新版控制台。 在统一身份认证服务的左侧导航窗格中,选择“访问分析
对IAM用户自身附加的身份策略进行权限审计,只需要将待审计的权限与附加的身份策略内容进行对比即可。因此,接下来只以IAM用户组附加的身份策略权限审计为例进行详细说明,操作对步骤如下: 查询用户组列表; 查询用户组权限; 查询身份策略内容; 确定需要审计的权限,查询用户组中的IAM用户,进行安全审计。
