华为云用户手册

身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问华为云时，需要使用身份凭证来通过系统的鉴权认证。身份凭证包括密码和访问密钥，您可以在 IAM 中管理账号以及账号下IAM用户的身份凭证。 密码：常见的身份凭证，密码可以用来登录控制台，还可以调用API接口。 访问密钥：即AK/SK（Access Key ID/Secret Access Key），调用API接口的身份凭证，不能登录控制台。访问密钥中具有验证身份的签名，通过加密签名验证可以确保机密性、完整性和请求双方身份的正确性。

权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM最初提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。 角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：策略是IAM最新提供的一种细粒度授权的能力，可以精确到具体操作、资源、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对E CS 服务，管理员能够控制IAM用户仅能对某一类云服务器的资源进行指定的管理操作。策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM，管理员可以通过给对应云服务提交工单，申请该服务在IAM预置权限。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图两种自定义策略配置方式。 图4 权限内容示例

用户组 用户组是IAM用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限。当某个IAM用户加入多个用户组时，此IAM用户同时拥有多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图3 用户组与用户

存储过程 Netezza语法 迁移后语法 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 CREATE OR REPLACE PROCEDURE sp_ntz_proc_call ( CHARACTER VARYING(8) ) RETURNS INTEGER LANGUAGE NZPLSQL AS BEGIN_PROC DECLARE V_PAR_DAY ALIAS for $1; V_PRCNAME NVARCHAR(50):= 'SP_O_HXYW_LNSACCTINFO_H'; D_TIME_START TIMESTAMP:= CURRENT_TIMESTAMP; O_RETURN INTEGER; BEGIN O_RETURN := 0; CALL SP_ LOG _EXEC(V_PRCNAME,V_PAR_DAY,D_TIME_START,0,0); RETURN O_RETURN; END; END_PROC; 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 CREATE OR REPLACE FUNCTION sp_ntz_proc_call ( CHARACTER VARYING(8) ) RETURN INTEGER AS V_PAR_DAY ALIAS for $1; V_PRCNAME NCHAR VARYING(50):= 'SP_O_HXYW_LNSACCTINFO_H'; D_TIME_START TIMESTAMP:= CURRENT_TIMESTAMP; O_RETURN INTEGER; BEGIN O_RETURN := 0; SP_LOG_EXEC(V_PRCNAME,V_PAR_DAY,D_TIME_START,0,0); RETURN O_RETURN; END; /

DATE 日期类型转换。 Netezza语法 迁移后语法 1 2 3 4 5 6 7 8 9 10 SELECT A1.ETL_DATE, A1.MARKET_CODE , A1.DECLARATION_DT , ROW_NUMBER() OVER(PARTITION BY A1.MARKET_CODE, A1.STOCK_CODE, DATE_PART('YEAR', DATE(A1.DECLARATION_DT)) ORDER BY A1.DECLARATION_DT DESC) AS RN FROM tb_date_type_casting A1; SELECT A1.ETL_DATE, A1.MARKET_CODE , A1.DECLARATION_DT , ROW_NUMBER() OVER(PARTITION BY A1.MARKET_CODE, A1.STOCK_CODE, DATE_PART('YEAR', DATE(A1.DECLARATION_DT)) ORDER BY A1.DECLARATION_DT DESC) AS RN FROM tb_date_type_casting A1; 1 2 3 4 SELECT A1.ETL_DATE, A1.MARKET_CODE , A1.DECLARATION_DT , ROW_NUMBER() OVER(PARTITION BY A1.MARKET_CODE, A1.STOCK_CODE, DATE_PART('YEAR', CAST(A1.DECLARATION_DT AS DATE)) ORDER BY A1.DECLARATION_DT DESC) AS RN FROM tb_date_type_casting A1;

分析函数（analytic_function） Netezza语法 迁移后语法 1 2 3 4 5 6 7 8 9 10 11 SELECT COALESCE(NULLIF(GROUP_CONCAT(a.column_name),''),'*') FROM (SELECT a.column_name FROM tb_ntz_group_concat a WHERE UPPER(a.table_name) = 'EMP' ORDER BY a.column_pos) a; ------------- SELECT admin.group_concat('"top'||lpad(a.table_name,2,'0')||'":{'||a.column_name||'}') topofund_data FROM (SELECT a.table_name, a.column_name FROM tb_ntz_group_concat a WHERE UPPER(a.table_name) = 'EMP' ORDER BY a.column_pos) a; 1 2 3 4 5 6 7 8 9 10 11 SELECT COALESCE(NULLIF(STRING_AGG(a.column_name, ','),''),'*') FROM (SELECT a.column_name FROM tb_ntz_group_concat a WHERE UPPER(a.table_name) = 'EMP' ORDER BY a.column_pos) a; ------------- SELECT STRING_AGG('"top'||lpad(a.table_name,3,'0')||'":{'||a.column_name||'}', ',') topofund_data FROM (SELECT a.table_name, a.column_name FROM tb_ntz_group_concat a WHERE UPPER(a.table_name) = 'EMP' ORDER BY a.column_pos) a;

ISNULL() Netezza语法 迁移后语法 1 2 3 4 5 SELECT A.ETL_DATE, A.BRANCH_CODE, A.CUST_NO , ISNULL ( B.RES_STOCK,0) AS RES_STOCK , ISNULL ( B.ZY_VOL ,0 ) AS ZY_VOL , ISNULL ( B.ZJ_VOL,0 ) AS ZJ_VOL FROM tab123; 1 2 3 4 5 SELECT A.ETL_DATE, A.BRANCH_CODE, A.CUST_NO , NVL ( B.RES_STOCK,0) AS RES_STOCK , NVL ( B.ZY_VOL ,0 ) AS ZY_VOL , NVL ( B.ZJ_VOL,0 ) AS ZJ_VOL FROM tab123;

如果模型服务的RPM数值为300，可以1秒直接发送300个请求吗？ 不可以。如果模型服务的RPM（每分钟请求数）为300，意味着每秒最多可以处理5个请求（300/60=5）。因此，1秒内发送300个请求会远远超出服务的处理能力，导致请求失败。 建议您均匀地发送API请求，避免短时间内发送大量请求。根据API网关的限流机制，如果1秒内的请求数超过RPM/60*1，超额部分的请求可能会触发API网关的速率限制拦截，导致请求失败并返回错误码429（Too Many Requests）。 父主题： ModelArts Studio（MaaS）

云产品配额限制 一个区域下每个账号可创建的配额限制如下： 配额限制大类 配额限制项 配额 云容器引擎 集群总数 50 虚拟私有云 虚拟私有云的数量 5 子网的数量 100 安全组数量 100 安全组规则数量 5000 一个路由表里拥有的路由数量 100 一个虚拟私有云拥有路由数量 100 对等连接数量 50 网络ACL数量 200 弹性负载均衡 弹性负载均衡数量 50 弹性负载均衡监听器数量 100 弹性负载均衡证书数量 120 弹性负载均衡转发策略数量 500 弹性负载均衡后端主机组数量 500 弹性负载均衡后端服务器数量 500 VPC终端节点 终端节点数量 50 云解析服务 DNS内网 域名 数量 50 DNS记录集数量 500 如果当前配额无法满足您的需求，您可以提交工单申请提升配额。

使用限制 CCE Autopilot集群使用的工作节点为全托管模式，因此您目前还无法使用依赖节点特性的功能，例如HostPath、HostNetwork等功能，具体使用限制如下： 不支持的功能 说明 推荐替代方案 DaemonSet型工作负载 在每个节点上部署Pod 通过sidecar形式在Pod中部署多个镜像 在Pod中设置HostPath 将节点本地文件挂载到容器中 使用EmptyDir或其他类型的 云存储 在Pod中设置HostNetwork 将节点端口映射到容器上 使用负载均衡类型的Service NodePort型Service 开放指定节点端口访问容器 使用负载均衡类型的Service 使用CCE Autopilot集群时，工作负载中的每个Pod默认提供30GiB（IOPS上限2500，IOPS突发上限16000）的免费磁盘空间。除系统本身及平台预留资源占用外，用户实际可用的镜像、容器及临时存储的空间总大小约为20GiB。如果使用容器镜像过大（一般5GiB以上）及容器根目录或临时存储存在创建大量文件场景时，建议增加Pod的临时存储容量，具体操作请参见文档增加Pod的临时存储容量。 使用CCE Autopilot集群时，默认最多创建1000个Pod，其中插件实例可能占用部分Pod配额，请合理规划。如果配额不足，您可以提交工单申请扩容。 使用CCE Autopilot集群时，不支持创建使用ARM架构镜像的工作负载。

规格说明 CCE Autopilot集群会自动规整不支持的规格，向上规整为最接近的vCPU与内存配置，以确保Pod始终拥有运行所需的资源。 表3 CCE Autopilot集群支持的vCPU与内存组合 vCPU 内存（GiB） 0.25 vCPU 0.5GiB、1GiB、2GiB 0.5 vCPU 1GiB、2GiB、3GiB、4GiB 1 vCPU 2GiB、3GiB、4GiB、5GiB、6GiB、7GiB、8GiB 2 vCPU 4GiB、5GiB、... 、15GiB、16GiB（以 1GiB 为增量） 4 vCPU 8GiB、9GiB、... 、31GiB、32GiB（以 1GiB 为增量） 8 vCPU 8GiB、12GiB、... 、60GiB、64GiB（以 4GiB 为增量） 16 vCPU 16GiB、24GiB、... 、120GiB、128GiB（以 8GiB 为增量） 32 vCPU 32GiB、64GiB、128GiB、256GiB 48 vCPU 96GiB、192GiB、384GiB 64 vCPU 128GiB、256GiB、512GiB

按需计费区域单价 每个Pod默认免费提供30GiB（IOPS上限2500，IOPS突发上限16000）临时存储，若临时存储设置超过30GiB，超出部分按照存储价格计费。 表2 按需计费区域单价 区域 集群管理费用 Pod 华南-广州友好 0.65元/小时 CPU：0.176元/小时/Core 内存：0.022元/小时/GiB 临时存储：0.0014元/小时/GiB 西南-贵阳一 0.65元/小时 CPU：0.158元/小时/Core 内存：0.02元/小时/GiB 临时存储：0.0014元/小时/GiB 华南-广州 0.65元/小时 CPU：0.176元/小时/Core 内存：0.022元/小时/GiB 临时存储：0.0014元/小时/GiB 华东-上海一 0.65元/小时 CPU：0.176元/小时/Core 内存：0.022元/小时/GiB 临时存储：0.0014元/小时/GiB 华北-北京四 0.65元/小时 CPU：0.176元/小时/Core 内存：0.022元/小时/GiB 临时存储：0.0014元/小时/GiB 中国-香港 0.65元/小时 CPU：0.371元/小时/Core 内存：0.041元/小时/GiB 临时存储：0.00203元/小时/GiB 亚太-曼谷 0.65元/小时 CPU：0.32元/小时/Core 内存：0.035元/小时/GiB 临时存储：0.00199元/小时/GiB 亚太-新加坡 0.65元/小时 CPU：0.338元/小时/Core 内存：0.037元/小时/GiB 临时存储：0.002元/小时/GiB 亚太-雅加达 0.65元/小时 CPU：0.338元/小时/Core 内存：0.037元/小时/GiB 临时存储：0.00218元/小时/GiB 非洲-约翰内斯堡 0.65元/小时 CPU：0.367元/小时/Core 内存：0.040元/小时/GiB 临时存储：0.0022896元/小时/GiB 土耳其-伊斯坦布尔 0.65元/小时 CPU：0.299元/小时/Core 内存：0.033元/小时/GiB 临时存储：0.00227元/小时/GiB 中东-利雅得 0.65元/小时 CPU：0.353元/小时/Core 内存：0.039元/小时/GiB 临时存储：0.0027元/小时/GiB

IAM用户绑定 IAM用户可自行在IAM控制台绑定虚拟MFA，操作与暂未升级华为账号的华为云账号相同。 若管理员重置了IAM用户的虚拟MFA或IAM用户首次登录，且该IAM用户开启了登录保护并设置虚拟MFA为验证方式，则IAM用户登录过程中需要重新绑定虚拟MFA，操作如下： 以IAM用户身份登录控制台。 在登录验证页，单击“绑定虚拟MFA”。 页面右侧会弹出绑定虚拟MFA页面，请根据提示绑定虚拟MFA。

暂未升级华为账号的华为云账号 单击“虚拟MFA”右侧的“前往绑定”。 根据右侧弹出的绑定虚拟MFA页面，在您的MFA应用程序中添加用户。 图1 绑定虚拟MFA 您可以通过扫描二维码、手动输入两种方式绑定MFA设备，下面以“华为云”手机应用程序为例绑定虚拟MFA： 扫描二维码 打开手机上已安装好的“华为云”手机应用程序，选择“控制台-MFA-添加-扫码添加”，扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后，“华为云”手机应用程序会自动添加用户，虚拟MFA列表中出现账号/IAM用户名及对应的MFA动态码。 手动输入 打开手机上已安装好的“华为云”手机应用程序，选择“控制台-MFA-添加-手动输入”。账号绑定虚拟MFA，输入账号和密钥；IAM用户绑定虚拟MFA，输入IAM用户名和密钥。单击“添加”手动添加用户。 手动输入添加用户方式只支持基于时间模式，建议在移动设备中开启自动设置时间功能。 添加用户完成，在“华为云”手机应用程序“虚拟MFA页面”，查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。 在“绑定虚拟MFA”页面输入连续的两组口令，然后单击“确定”，完成绑定虚拟MFA设备的操作。

支持身份策略的区域 表1 支持身份策略的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二 cn-east-2 中国-香港 ap-southeast-1 华北-北京一 cn-north-1 华北-北京四 cn-north-4 华南-广州 cn-south-1 华南-广州-友好用户环境 cn-south-4 华北-乌兰察布-汽车一 cn-north-11 华北-乌兰察布一 cn-north-9 西南-贵阳一 cn-southwest-2 华东-青岛 cn-east-5 土耳其-伊斯坦布尔 tr-west-1 非洲-约翰内斯堡 af-south-1 拉美-墨西哥城一 na-mexico-1 拉美-墨西哥城二 la-north-2 拉美-圣保罗一 sa-brazil-1 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 非洲-开罗 af-north-1 华东二 cn-east-4

支持身份策略的云服务 计算 序号 服务名称 1 弹性云服务器（ECS） 2 裸金属服务（BMS） 3 镜像服务 （IMS） 4 弹性伸缩（AS） 存储 序号 服务名称 1 云备份（CBR） 2 云硬盘（EVS） 3 高性能弹性文件服务 SFS Turbo 网络 序号 服务名称 1 虚拟私有云（VPC） 2 弹性公网IP（EIP） 3 NAT网关（NAT） 4 弹性负载均衡（ELB） 5 VPC终端节点（VPCEP） 6 云专线（DC） 7 企业路由器（ER） 8 全球加速服务（GA） 9 云连接（CC） 容器 序号 服务名称 1 云容器引擎（CCE） 2 容器镜像服务 （SWR） 大数据 序号 服务名称 1 数据湖探索 （ DLI ） 2 数据治理中心 （ DataArts Studio ） 3 数据仓库 服务 GaussDB （DWS） 4 MapReduce服务 （ MRS ） 5 云搜索服务 （ CSS ） CDN与智能边缘 序号 服务名称 1 内容分发网络（CDN） 数据库 序号 服务名称 1 云数据库（RDS） 2 文档数据库服务（DDS） 3 云数据库 GaussDB 4 数据复制服务 （DRS） 5 云数据库 TaurusDB 安全与合规 序号 服务名称 1 原生基础防护（Anti-DDoS） 2 DDoS原生高级防护（CNAD） 3 DDoS高防（AAD） 4 数据加密 服务（DEW），包含如下微服务： 密钥管理服务（KMS） 云凭据管理服务（C SMS ） 密钥对管理服务（KPS） 专属加密（DHSM） 5 主机安全服务（HSS） 6 安全云脑 （SecMaster） 7 云防火墙 （CFW） 8 数据安全中心 （DSC） 9 私有证书管理服务（PCA） 10 SSL证书管理服务（SCM） 11 云堡垒机 （CBH） 12 数据库安全服务（DBSS） 13 Web应用防火墙 （WAF） IoT物联网 序号 服务名称 1 设备接入（IoTDA） 应用中间件 序号 服务名称 1 分布式缓存服务（DCS） 2 微服务引擎（CSE） 3 API网关（APIG） 开发与运维 序号 服务名称 1 应用管理与运维平台（Servicestage） 2 软件开发生产线（CodeArts） 3 流水线（CodeArts Pipeline） 4 开源治理服务 CodeArts Governance 5 性能测试 CodeArts PerfTest 企业应用 序号 服务名称 1 云解析服务（DNS） 2 云桌面 （Workspace） 管理与监管 序号 服务名称 1 消息通知 服务（ SMN ） 2 云日志 服务（LTS） 3 统一身份认证 （IAM） 4 安全令牌服务（STS） 5 资源编排 服务（ RFS ） 6 IAM身份中心（IdentityCenter） 7 组织（Organizations） 8 资源访问管理 （ RAM ） 9 企业项目管理服务 （EPS） 10 标签管理服务（TMS） 11 配置审计 （Config）（原 资源管理服务 RMS ） 12 访问分析（AccessAnalyzer） 13 云审计 服务（ CTS ） 14 资源治理中心（RGC） 15 应用运维管理 （ AOM ） 16 云监控服务 （ CES ） 17 云运维中心（COC） 用户服务 序号 服务名称 1 费用中心 2 成本中心 3 账号中心 4 企业中心 5 消息中心 6 客户运营能力 迁移 序号 服务名称 1 对象存储迁移 服务（ OMS ） 2 主机迁移服务 （SMS）

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

联邦用户登录验证 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。 在IAM控制台的“身份提供商”页面，单击“操作”列的“修改”，进入“修改身份提供商”页面。 在修改身份提供商页面，单击登录链接右侧的“复制”，并在浏览器中打开。 图6 复制登录链接 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认身份提供商配置信息以及企业IdP服务器配置是否正确。 输入企业管理系统的用户名和密码验证是否可以登录到华为云本系统。 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业管理系统。 登录失败：请检查您的用户名和密码。 此时联邦用户只能访问华为云本系统，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：配置OIDC身份转换规则。

前提条件 企业管理员在华为云本系统注册了可用的账号，并已在IAM中创建用户组并授权，具体方法请参见：创建用户组并授权。在华为云本系统IAM上创建的用户组是用于与企业IdP上的用户建立映射关系，使得IdP中的用户获取华为云本系统IAM中用户组的权限。 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异，华为云云服务平台帮助文档对于企业IdP的配置不做详述，获取企业IdP的OAuth 2.0凭据等具体操作请参考企业IdP的帮助文档。

在华为云系统上创建身份提供商 在IAM控制台上创建身份提供商，通过配置授权信息，可以在IAM中建立对IdP的信任关系，使得企业用户可以直接访问华为云本系统。 进入IAM控制台IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。 图1 创建身份提供商 在弹出的“创建身份提供商”窗口中填写“名称”，选择“协议”为“OpenID Connect”，选择“状态”为“启用”，单击“确定”，创建身份提供商成功。 图2 填写身份提供商参数 身份提供商名称不能重复，建议以域名唯一标识命名。

在华为云系统上配置授权信息 单击身份提供商列表中“操作”列的“修改”，进入“修改身份提供商”页面。 图3 修改身份提供商 在修改身份提供商页面，选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访问：可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云本系统。 管理控制台访问：用户可以使用账号密码登录到管理控制台来访问华为云本系统。 如果您需要使用SSO方式访问华为云本系统，应该选择此方式。 编程访问 用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云本系统。 在修改身份提供商页面，填写“配置信息”。 图5 配置信息 表2 配置信息 配置信息 说明 身份提供商URL OpenID Connect身份提供商标识。 对应企业IdP提供的Openid-configuration中"issuer"字段的值。 说明： Openid-configuration是在OpenID Connect中定义的URL，它提供了有关身份提供程序（IdP）的配置信息。URL如下：https://{base URL}/.well-known/openid-configuration，其中base URL由企业IdP定义，如Google提供的Openid-configuration为https://accounts.google.com/.well-known/openid-configuration. 客户端ID 在OpenID Connect身份提供商注册的客户端ID。即在企业IdP中创建的OAuth 2.0凭据。 授权请求Endpoint OpenID Connect身份提供商授权地址。对应企业IdP提供的Openid-configuration中"authorization_endpoint"字段的值。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 授权请求Scope 授权请求信息范围。默认必选openid。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 枚举值： openid email profile 授权请求Response type 授权请求返回参数类型，默认必选id_token。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 授权请求Response mode 授权请求返回模式，form_post和fragment两种可选模式，推荐选择form_post模式。 form_post：选择form_post模式时，请在身份提供商侧将redirect urI配置为：https://auth.huaweicloud.com/authui/oidc/post。 fragment：选择fragment模式时，请在身份提供商侧将redirect url配置为：https://auth.huaweicloud.com/authui/oidc/redirect。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 签名公钥 验证OpenID Connect身份提供商ID Token签名的公钥。为了您的账号安全，建议您定期轮换签名公钥。 单击“确定”，完成配置。

主体类型 主体类型可以为用户、用户组和委托。当前页面仅呈现该用户组的授权关系，因此主体类型为用户组。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您账号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 管理用户组：您可以在“用户组”页面创建、管理用户组。

基本概念 SAML 2.0 安全断言标记语言（Secturity Assertion Markup Language 2.0，缩写为SAML 2.0）是一个由一组协议组成，用来传输安全声明的XML框架。SAML2.0是由标准化组织OASIS提出的用于安全操作的标准，是很多身份提供商 （IdP）使用的一种开放标准，关于SAML2.0的详细描述请参见：SAML 2.0技术概述。IAM支持使用SAML2.0协议进行联邦身份认证，因此与华为云建立联邦身份认证的企业IdP必须支持SAML2.0协议。 OIDC OIDC是OpenID Connect的简称，是一个基于OAuth 2.0协议的身份认证标准协议。IAM支持使用OIDC 1.0协议进行联邦身份认证，因此与华为云建立联邦身份认证的企业IdP必须支持OIDC 1.0协议。关于OIDC的详细描述请参见：欢迎使用OpenID Connect。 选用原则：根据与华为云建立联邦身份认证的企业IdP支持的协议进行选择。

常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器（ECS）的权限 设置弹性负载均衡（ELB）的权限 设置关系型数据库（RDS）的权限 设置云硬盘（EVS）的权限 设置 云监控 （CES）的权限 设置云容器引擎（CCE）的权限 设置 对象存储服务 （OBS）的权限 设置云备份（CBR）的权限 设置虚拟私有云（VPC）的权限 设置分布式缓存服务（DCS）的权限 设置文档数据库服务（DDS）的权限 设置费用中心的权限 设置提交工单的权限

操作步骤 在用户组选择策略页面中，勾选需要授予用户组的权限。完整的权限列表请参见：系统权限。常用的系统权限设置案例请参见下方常用系统权限设置案例。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用账号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。 当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。 更多有关权限的使用建议请参见：多运维人员权限设置案例、自定义策略使用样例。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云系统中显示的用户名，以下简称“联邦用户名”。 为了区分华为云系统的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云本系统中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云系统中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云云服务平台。一个身份转换规则最多可以创建10条生效条件。 “属性”、“值”为企业IdP通过SAML断言返回给华为云系统用户信息；“条件”可选择：empty、any_one_of、not_any_of，详细说明请参见：身份转换规则详细说明。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云云服务平台。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云云服务平台中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云云服务平台，进入IAM控制台IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 图4 编辑身份转换规则 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

区域项目和企业项目的区别 区域项目 区域项目是针对同一个区域内的资源进行分组和隔离，是物理隔离。在区域项目中的资源不能转移，只能删除后重建。 区域项目在统一身份认证服务中管理，使用区域项目，请参考：项目。 企业项目 企业项目是区域项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。企业项目可以实现对特定云资源的授权，例如：将一台特定的ECS添加至企业项目，对企业项目进行授权后，可以控制用户仅能管理这台特定的ECS。 企业项目在企业管理服务中管理，使用企业项目，请参考：创建企业项目。

解释说明 根据您所选择的策略，系统将自动推荐授权范围方案，便于为用户选择合适的授权作用范围。下面为您介绍所有授权范围： 所有资源 IAM用户可以根据权限使用账号中所有的企业项目、区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 当前仅部分服务支持基于企业项目授权，详情请参考：支持企业项目授权的云服务。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 华为云的每个区域默认对应一个项目，如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得IAM用户仅能访问特定子项目中的资源。如需创建项目，请参考：创建项目。 如果您已开通企业项目，将不支持创建区域子项目。 全局服务资源 IAM用户可以根据权限使用全局服务。服务部署时不区分物理区域，为全局级服务。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。

身份提供商类型说明 一个账号下只能存在一种类型的身份提供商。OIDC协议仅支持虚拟用户SSO。 虚拟用户SSO：该身份提供商中的用户登录华为云后，系统为其自动创建虚拟用户信息。一个账号可以创建多个虚拟用户SSO类型的身份提供商。 IAM用户SSO：该身份提供商中的用户登录华为云后，系统将自动匹配外部身份ID绑定的对应IAM子用户，从而拥有该子用户所在用户组的权限。一个账号下只能创建一个IAM用户SSO类型的身份提供商。如果选择该类型，请确保您已为用户创建对应的IAM用户并设置外部身份ID，请参考创建IAM用户。

验证联邦用户权限 配置身份转换规则后，查看联邦用户是否已有相应权限。 联邦用户登录。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。