华为云用户手册

联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系，配置流程如下。 建立互信关系并创建身份提供商：交换华为云与企业IdP的元数据文件，建立信任关系，如图1所示，并在华为云上创建身份提供商。 图1 交换Metadata文件模型 在华为云配置身份转换规则：通过配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云，用户转换模型如图2所示。 图2 用户转换模型 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问华为云，如图3所示。 图3 配置单点登录模型

联邦身份认证配置示例 由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，具体操作请参考企业IdP的帮助文档。常见IdP与华为云建立联邦身份认证的操作，请参见： 使用Active Directory Federation Services建立与华为云的联邦身份认证 使用Shibboleth IdP建立与华为云的联邦身份认证 使用Azure AD建立与华为云的联邦身份认证 使用 OneAccess 建立与华为云的联合认证

参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0：代表基于角色的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DNS:Zone:*"：表示对DNS的Zone所有操作。其中“DNS”为服务名；“Zone”为资源类型；“*”为通配符，表示对Zone资源类型可以执行所有操作。 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明： 给用户组授予示例的“DNS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”，“DNS Administraor”才会生效。 了解更多角色依赖关系，请参考：系统权限。

创建项目 在 IAM 控制台的左侧导航窗格中，选择“项目”页签，单击“创建项目”。 图2 创建项目 在“所属区域”下拉列表中选择需要创建子项目的区域。 输入“项目名称”。 项目名称的格式为：区域默认项目名称_子项目名称，区域默认项目名称不允许修改。 项目名称可以由字母、数字、下划线（_）、中划线（-）组成。“区域名称_项目名称”的总长度不能大于64个字符。 （可选）输入“描述”。 单击“确定”，项目列表中显示新创建的项目。

角色内容 给用户组选择角色时，单击角色前面的，可以查看角色的详细内容，以“DNS Administrator”为例，说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" }, { "catalog": "VPC", "display_name": "VPC Administrator" } ]}

系统策略更名详情 现对系统策略（即细粒度策略类型）名称进行调整，新的策略名称将于2020/2/6 22:30:00（北京时间）正式生效。本次调整仅涉及对系统策略名称的修改，不会影响您的业务，请放心使用。原始系统策略为Version 1.0，目标系统策略为Version 1.1，当前IAM兼容两个版本。 表1 系统策略更名详情 服务 原始系统策略名称 目标系统策略名称 AOM AOM Admin AOM FullAccess AOM Viewer AOM ReadOnlyAccess APM APM Admin APM FullAccess APM Viewer APM ReadOnlyAccess Auto Scaling AutoScaling Admin AutoScaling FullAccess AutoScaling Viewer AutoScaling ReadOnlyAccess BMS BMS Admin BMS FullAccess BMS User BMS CommonOperations BMS Viewer BMS ReadOnlyAccess BSS EnterpriseProject_BSS_Administrator EnterpriseProject BSS FullAccess CBR CBR Admin CBR FullAccess CBR User CBR BackupsAndVaultsFullAccess CBR Viewer CBR ReadOnlyAccess CCE CCE Admin CCE FullAccess CCE Viewer CCE ReadOnlyAccess CCI CCI Admin CCI FullAccess CCI Viewer CCI ReadOnlyAccess CDM CDM Admin CDM FullAccess CDM Operator CDM FullAccessExceptUpdateEIP CDM Viewer CDM ReadOnlyAccess CDM User CDM CommonOperations CDN CDN Domain Configuration Operator CDN DomainConfigureAccess CDN Domain Viewer CDN DomainReadOnlyAccess CDN Logs Viewer CDN LogsReadOnlyAccess CDN Refresh And Preheat Operator CDN RefreshAndPreheatAccess CDN Statistics Viewer CDN StatisticsReadOnlyAccess CES CES Admin CES FullAccess CES Viewer CES ReadOnlyAccess CS CS Admin CS FullAccess CS Viewer CS ReadOnlyAccess CS User CS CommonOperations CSE CSE Admin CSE FullAccess CSE Viewer CSE ReadOnlyAccess DCS DCS Admin DCS FullAccess DCS Viewer DCS ReadOnlyAccess DCS User DCS UseAccess DDM DDM Admin DDM FullAccess DDM Viewer DDM ReadOnlyAccess DDM User DDM CommonOperations DDS DDS Admin DDS FullAccess DDS DBA DDS ManageAccess DDS Viewer DDS ReadOnlyAccess DLF DLF Admin DLF FullAccess DLF Developer DLF Development DLF Operator DLF OperationAndMaintenanceAccess DLF Viewer DLF ReadOnlyAccess DMS DMS Admin DMS FullAccess DMS Viewer DMS ReadOnlyAccess DMS User DMS UseAccess DNS DNS Admin DNS FullAccess DNS Viewer DNS ReadOnlyAccess DSS DSS Admin DSS FullAccess DSS Viewer DSS ReadOnlyAccess DWS DWS Admin DWS FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB FullAccess ELB Viewer ELB ReadOnlyAccess EPS EPS Admin EPS FullAccess EPS Viewer EPS ReadOnlyAccess EVS EVS Admin EVS FullAccess EVS Viewer EVS ReadOnlyAccess GES GES Admin GES FullAccess GES Viewer GES ReadOnlyAccess GES User GES Development ICITY iCity Admin iCity FullAccess iCity Viewer iCity ReadOnlyAccess IMS IMS Admin IMS FullAccess IMS Viewer IMS ReadOnlyAccess Image Recognition Image Recognition User Image Recognition FullAccess KMS DEW Keypair Admin DEW KeypairFullAccess DEW Keypair Viewer DEW KeypairReadOnlyAccess KMS CMK Admin KMS CMKFullAccess LTS LTS Admin LTS FullAccess LTS Viewer LTS ReadOnlyAccess MRS MRS Admin MRS FullAccess MRS Viewer MRS ReadOnlyAccess MRS User MRS CommonOperations ModelArts ModelArts Admin ModelArts FullAccess ModelArts User ModelArts CommonOperations Moderation Moderation User Moderation FullAccess NAT NAT Admin NAT FullAccess NAT Viewer NAT ReadOnlyAccess OBS OBS Operator OBS OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess RES RES Admin RES FullAccess RES Viewer RES ReadOnlyAccess ROMA Connect ROMA Admin ROMA FullAccess ROMA Viewer ROMA ReadOnlyAccess SCM SCM Admin SCM FullAccess SCM Viewer SCM ReadOnlyAccess SCM Viewer SCM ReadOnlyAccess SFS SFS Admin SFS FullAccess SFS Viewer SFS ReadOnlyAccess SFS Turbo SFS Turbo Administrator SFS Turbo FullAccess SFS Turbo Viewer SFS Turbo ReadOnlyAccess ServiceStage ServiceStage Admin ServiceStage FullAccess ServiceStage Developer ServiceStage Development ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题： 权限管理

联邦用户登录验证 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”（如图8所示），进入“身份提供商基本信息”页面；单击“登录链接”右侧的“复制”，如图9所示，并在浏览器中打开。 图8 查看身份提供商 图9 复制登录链接 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认获取的企业元数据文件以及企业IdP服务器配置是否正确。 输入企业IdP的用户名和密码验证是否可以登录到华为云。 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业管理系统。 登录失败：请检查您的用户名和密码。 此时联邦用户只能访问华为云，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：步骤2：配置身份转换规则。

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

前提条件 企业管理员在华为云上注册了可用的帐号，并已在IAM中创建用户组并授权，具体方法请参见：创建用户组并授权。在华为云IAM上创建的用户组是用于与企业IdP上的用户建立映射关系，使得IdP中的用户获取华为云IAM中用户组的权限。 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，获取企业IdP的元数据文件、华为云元数据上传至企业IdP等具体操作请参考企业IdP的帮助文档。

建立企业IdP对华为云的信任关系 在企业IdP中配置华为云的元数据文件，以建立企业IdP对华为云的信任。常用企业IdP，如Microsoft Active Directory（AD FS）和Shibboleth的配置步骤，请参见：与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件（metadata文件）。 访问网址：https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件，并设置文件名称，例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。

在华为云上创建身份提供商 在IAM控制台上创建身份提供商，配置身份提供商的元数据文件后，可以在IAM中建立对企业IdP的信任关系，使得企业用户可以直接访问华为云。 进入IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。 图1 创建身份提供商 在“创建身份提供商”窗口中设置名称、协议、类型、状态、描述。 图2 填写身份提供商参数 表1 身份提供商基本参数 参数 含义 名称 身份提供商的名称。身份提供商名称在全局范围内不能重复，建议以域名唯一标识命名。 协议 身份提供商协议。当前华为云支持基于SAML、OIDC的身份提供商，如需创建基于OIDC协议的联邦身份认证，请参考基于OIDC协议的联邦身份认证。 类型 身份提供商类型。一个帐号下只能存在一种类型的身份提供商。 虚拟用户SSO：该身份提供商中的用户登录华为云后，系统为其自动创建虚拟用户信息。一个帐号可以创建多个虚拟用户SSO类型的身份提供商。 IAM用户SSO：该身份提供商中的用户登录华为云后，系统将自动匹配外部身份ID绑定的对应IAM子用户，从而拥有该子用户所在用户组的权限。一个帐号下只能创建一个IAM用户SSO类型的身份提供商。如果选择该类型，请确保您已为用户创建对应的IAM用户并设置外部身份ID，请参考创建IAM用户。 状态 身份提供商的状态。默认设置为“启用”。 单击“确定”，创建身份提供商成功。

登录方法：IAM用户专属链接 此方法需要向管理员获取专属登录链接，获取后建议您保存该链接，方便后续快速登录。使用IAM用户专属链接登录时，系统会自动识别用户的帐号名，用户仅需要填写用户名和密码，方便用户快速登录。 管理员在IAM控制台，复制“IAM用户登录链接”，并将链接发送给用户。 图2 IAM用户登录链接 用户在浏览器中打开复制的地址，输入“用户名/邮件地址”和“密码”，单击“登录”，完成登录。 图3 IAM用户通过链接登录

登录方法1：华为云登录页面 在华为云的登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入帐号名，IAM用户名/邮件地址和密码。 图1 IAM用户登录 租户名/原华为云帐号：IAM用户所属的帐号，即华为云帐号。如果不知道帐号名，请向管理员获取。 IAM用户名/邮件地址：在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道用户名及初始密码，请向管理员获取。 IAM用户密码：IAM用户的密码，非帐号密码。 单击“登录”，完成登录。 如果创建IAM用户时，IAM用户没有加入任何用户组，则IAM用户不具备任何权限，不能对云服务进行操作，需要联系管理员参考创建用户组并授权和用户组添加/移除用户给IAM用户授权。 如果创建IAM用户时，IAM用户加入了默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。

修订记录 表1 文档修订记录 日期 修订记录 2022-06-17 第四十五次正式发布。 新增批量操作功能，包括批量编辑IAM用户，批量删除IAM用户、用户组、用户组权限、委托。 2021-11-30 第四十四次正式发布。 根据“授权”功能优化，刷新授权、自定义策略相关章节。 2021-09-02 第四十三次正式发布。 本次根据变更说明如下： 新增查看授权记录内容。 新增授权记录内容。 修改查看或修改用户组内容。 2021-08-16 第四十二次正式发布。 本次变更新增自主管理用户属性内容。 2021-04-22 第四十一次正式发布。 本次变更说明如下： 新增章节调整配额。 2021-04-16 第四十次正式发布。 本次变更说明如下： 新增内容企业联邦用户登录。 2021-03-27 第三十九次正式发布。 本次变更说明如下： 根据华为云统一ID上线，刷新登录华为云章节。 2021-03-24 第三十八次正式发布。 本次变更说明如下： 新增章节支持IAM资源粒度授权的云服务。 2021-01-30 第三十七次正式发布。 本次变更说明如下： 根据IAM用户访问模式功能变更刷新创建IAM用户。 增加修改IAM用户访问模式功能。 2020-12-30 第三十六次正式发布。 本次变更说明如下： 根据登录界面变更、安全设置功能变更、界面词条变更进行全文刷新。 2020-11-16 第三十五次正式发布。 本次变更说明如下： 新增使用token方式创建云服务登录地址、使用委托方式创建云服务登录地址章节。 2020-11-05 第三十四次正式发布。 本次变更说明如下： 修改身份提供商章节结构。 新增联邦身份认证配置概述章节。 2020-10-27 第三十三次正式发布。 本次变更说明如下： 根据登录方式变更刷新登录华为云、IAM用户登录、登录验证策略章节登录界面截图。 2020-08-18 第三十二次正式发布。 本次变更说明如下： 新增登录华为云章节。 2020-06-08 第三十一次正式发布。 本次变更说明如下： 根据新增HUAWEI ID登录方式刷新IAM用户登录、登录验证策略章节。 2020-04-20 第三十次正式发布。 本次变更说明如下： 用户组添加/移除用户中新增移除用户相关操作内容； 新增以下章节： 删除IAM用户 移除用户组权限 2020-03-30 第二十九次正式发布。 本次变更说明如下： “基于策略的访问控制公测”转商用，删除公测相关说明。 2020-02-25 第二十八次正式发布。 本次变更说明如下： 敏感操作中增加IAM定义的敏感操作内容。 2020-02-10 第二十七次正式发布。 本次变更说明如下： 新增章节： 系统策略更名详情 根据策略更名修改创建用户组并授权章节内容。 2020-01-19 第二十六次正式发布。 本次变更说明如下： 根据界面变更修改以下章节： 用户组及授权、权限管理。 2020-01-02 第二十五次正式发布。 本次变更说明如下： 根据界面风格变化刷新各章节图片。 2019-12-10 第二十四次正式发布。 本次变更说明如下： 根据界面变更修改以下章节： 给用户组授权、依赖角色的授权方法、（可选）分配委托权限（被委托方操作）。 2019-11-20 第二十三次正式发布。 本次变更说明如下： 根据界面变更修改创建IAM用户、访问控制章节； 管理IAM用户访问密钥中新增•启用、停用访问密钥。 2019-09-29 第二十二次正式发布。 本次变更说明如下： 新增自定义身份代理章节。 2019-09-12 第二十一次正式发布。 本次变更说明如下： 新增修改、删除自定义策略章节。 创建自定义策略中新增可视化视图创建自定义策略。 策略、自定义策略使用样例中增加资源、条件级策略语法。 2019-08-29 第二十次正式发布。 本次变更说明如下： 增加说明：支持修改云服务委托。 2019-08-01 第十九次正式发布。 本次变更说明如下： 新增重置虚拟MFA章节。 2019-07-13 第十八次正式发布。 本次变更说明如下： 新增基本信息章节。 根据界面变更修改使用前必读、安全设置概述、管理IAM用户访问密钥、虚拟MFA章节。 2019-07-04 第十七次正式发布。 本次变更说明如下： 新增多因素认证与虚拟MFA章节。 优化委托、身份提供商章节。 2019-06-11 第十六次正式发布。 本次变更说明如下： 调整目录结构并优化使用前必读、IAM用户、用户组及授权、权限管理、项目、安全设置和查看IAM操作记录章节。 2019-01-22 第十五次正式发布。 本次变更说明如下： 新增（可选）分配委托权限（被委托方操作）章节。 2018-08-30 第十四次正式发布。 本次变更说明如下： 安全设置中新增设置“会话超时策略”。 2018-06-29 第十三次正式发布。 本次变更说明如下 创建IAM用户中新增“是否重置密码”步骤。 新增开通 云审计 服务章节。 新增查看IAM的云审计日志章节。 2018-04-30 第十二次正式发布。 本次变更说明如下： 新增4.2-申请基于策略的访问控制公测章节。 新增自定义策略章节。 2018-02-13 第十一次正式发布。 本次变更说明如下： 创建委托（委托方操作）中新增委托类型的表格。 2017-12-15 第十次正式发布。 本次变更说明如下： 删除权限说明章节，权限说明详情请参考权限说明。 2017-07-27 第九次正式发布。 本次变更说明如下： 步骤1：创建身份提供商中新增系统自动提取和手动编辑元数据内容。 2017-06-28 第八次正式发布。 本次变更说明如下： 修改“Server Administrator”权限描述。 修改“VPC Administrator”权限描述。 2017-05-19 第七次正式发布。 本次变更说明如下： 新增以下内容： “APM Admin”权限描述。 “CCS Administrator”权限描述。 “CCS User”权限描述。 “CDE Admin”权限描述。 “CDE Developer”权限描述。 “SvcStg Admin”权限描述。 “SvcStg Developer”权限描述。 “SvcStg Operator”权限描述。 “SWR Admin”权限描述。 修改“RDS Administrator”权限描述。 删除以下内容： “te_devcloud_project_admin”权限描述。 “te_devcloud_project_poweruser”权限描述。 “te_devcloud_project_readonly”权限描述。 “te_devcloud_codehub_admin”权限描述。 “te_devcloud_codehub_poweruser”权限描述。 “te_devcloud_codehub_readonly”权限描述。 “te_devcloud_codecheck_admin”权限描述。 “te_devcloud_codecheck_poweruser”权限描述。 “te_devcloud_codecheck_readonly”权限描述。 “te_devcloud_codeci_admin”权限描述。 “te_devcloud_codeci_poweruser”权限描述。 “te_devcloud_codeci_readonly”权限描述。 “te_devcloud_test_admin”权限描述。 “te_devcloud_test_poweruser”权限描述。 “te_devcloud_test_readonly”权限描述。 “te_devcloud_release_admin”权限描述。 “te_devcloud_release_poweruser”权限描述。 “te_devcloud_release_readonly”权限描述。 2017-04-27 第六次正式发布。 本次变更说明如下： 新增创建委托（委托方操作）章节。 新增（可选）分配委托权限（被委托方操作）章节。 新增“DWS Administrator”权限描述。 2017-03-30 第五次正式发布。 本次变更说明如下： 同步“创建用户”界面的更新，刷新创建IAM用户章节。 新增“Agent Operator”权限描述。 新增“CRS Administrator”权限描述。 2016-11-30 第四次正式发布。 本次变更说明如下： 同步“帐户策略”界面的更新，刷新安全设置章节。 2016-09-30 第三次正式发布。 本次变更说明如下： 优化创建身份提供商章节。 2016-08-25 第二次正式发布。 本次变更说明如下： 新增“密码最短使用时间(分钟)”的参数设置。 2016-03-14 第一次正式发布。

完全使用自定义策略 您也可以不使用系统策略，只创建自定义策略，实现IAM用户的指定服务授权。 以下策略样例表示：仅允许IAM用户使用ECS、EVS、VPC、ELB、AOM { "Version": "1.1", "Statement": [ { "Effect": "Allow" "Action": [ "ecs:*:*", "evs:*:*", "vpc:*:*", "elb:*:*", "aom:*:*" ] } ]}

权限的分类 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。

配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts:*:*" ] } ]} Action为授权项，格式为：服务名:资源类型:操作。 "cts:*:*"：表示对云审计的所有操作。其中cts为服务名；“*”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。

配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建裸金属服务器权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示：拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ]} 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:TestBucket*" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ]}

策略内容 给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ]} 父主题： 策略

策略鉴权规则 用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下： 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。 父主题： 策略

联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系，需要完成以下配置步骤。 创建身份提供商并创建互信关系：在企业IdP中创建OAuth 2.0凭据，在华为云上创建身份提供商并配置授权信息，从而建立企业管理系统和华为云的信任关系。 配置身份转换规则：通过在华为云配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云。 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问华为云。

企业管理系统与华为云联邦身份认证交互流程 图1为用户在发起单点登录请求后，企业管理系统与华为云间的交互流程。 图1 联邦身份认证交互流程 从上图中可知，联邦身份认证的步骤为： 用户在浏览器中打开从IAM上获取到的登录链接，浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息，查找IAM身份提供商中对应的配置信息，构建OIDC 授权Request，发送给浏览器。 浏览器收到请求后，转发OIDC授权Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的ID Token，向浏览器发送OIDC授权Response。 浏览器响应后转发OIDC授权Response给华为云。 华为云从OIDC授权Response中取出ID Token，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。 用户完成单点登录，访问华为云。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云中显示的用户名，以下简称“联邦用户名”。 为了区分华为云的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。 说明： 用户组名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 “属性”、“值”为企业IdP通过SAML断言返回给华为云用户信息；“条件”可选择：empty、any_one_of、not_any_of，详细说明请参见：身份转换规则详细说明。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云，进入IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 图4 编辑身份转换规则 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云中显示的用户名，以下简称“联邦用户名”。 为了区分华为云的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。 说明： 用户组名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云，进入IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

验证联邦用户权限 配置身份转换规则后，查看联邦用户是否已有相应权限。 联邦用户登录。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“复制”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。

登录验证 按照登录请求发起方可将联邦用户登录方式分为两类： Idp侧登录：用户从IdP侧（企业自己的身份提供商侧）发起登录请求，例如从Microsoft Active Directory（AD FS）、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录：用户从SP侧（服务提供商侧）发起登录请求，在企业与华为云联邦身份认证的过程中，服务提供商指华为云，SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方式差异较大，华为云帮助文档不做详述，具体操作请参考企业IdP的帮助文档。本节重点介绍SP侧发起登录的方法： 联邦用户登录。 在控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“复制”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。

跳转到指定区域或服务 如需指定联邦用户登录的目标页面，比如联邦用户登录时，指定跳转到北京四局点， 云监控服务 CES主页。有以下两种配置方式： SP侧登录配置方法 拼接控制台获取的登录链接与指定url，拼接格式为“登录链接&service=指定url”。例如：获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml，指定跳转的控制台地址为https://console.huaweicloud.com/ces/?region=cn-north-4，按照拼接格式拼接得到的登录链接为：https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml&service=https://console.huaweicloud.com/ces/?region=cn-north-4。 IdP侧登录配置方法 在企业IdP的SAML 断言中配置IAM_SAML_Attributes_redirect_url声明，声明值为指定跳转的目标URL。

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

联邦用户登录验证 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。 在IAM控制台的“身份提供商”页面，单击“操作”列的“修改”，进入“修改身份提供商”页面。 在修改身份提供商页面，单击登录链接右侧的“复制”，并在浏览器中打开。 图6 复制登录链接 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认身份提供商配置信息以及企业IdP服务器配置是否正确。 输入企业管理系统的用户名和密码验证是否可以登录到华为云。 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业管理系统。 登录失败：请检查您的用户名和密码。 此时联邦用户只能访问华为云，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：步骤2：配置身份转换规则。

在华为云上创建身份提供商 在IAM控制台上创建身份提供商，通过配置授权信息，可以在IAM中建立对IdP的信任关系，使得企业用户可以直接访问华为云。 进入IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。 图1 创建身份提供商 在弹出的“创建身份提供商”窗口中填写“名称”，选择“协议”为“OpenID Connect”，选择“状态”为“启用”，单击“确定”，创建身份提供商成功。 图2 填写身份提供商参数 身份提供商名称不能重复，建议以域名唯一标识命名。