华为云用户手册

开启虚拟MFA功能 Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。

在E CS 实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证，可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥，需要在 IAM 上对ECS授权，并对相应的弹性云服务器资源进行授权委托管理。ECS通过向IAM申请指定委托的临时凭证，从而安全访问资源。ECS会为您自动轮换这些临时凭证，从而确保每次申请的临时凭证安全、有效。 当您启动 ECS 实例时，您可指定实例的委托，以作为启动参数。在 ECS 实例上运行的应用程序在访问华为云资源时可使用委托的临时访问密钥，同时委托的权限将确定允许访问资源的应用程序。

定期修改身份凭证 如果您不知道自己的密码或访问密钥已泄露，定期进行修改可以将不小心泄露的风险降至最低。 定期轮换密码可以通过设置密码有效期策略进行，您以及您账号中的用户在设置的时间内必须修改密码，否则密码将会失效，IAM会在密码到期前15天开始提示用户修改密码。 轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。

合理设置访问方式 IAM支持为用户设置编程访问、管理控制台访问方式，请参考如下说明为IAM用户设置访问方式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。

不给华为账号创建访问密钥 华为账号是您华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是账号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高账号安全性，建议您仅使用密码登录控制台即可，不要给账号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。

操作步骤 登录IAM控制台。 在 统一身份认证 服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 图2 委托名称 “委托类型”选择“普通账号”，在“委托的账号”中输入需要建立委托关系的其他账号的账号名。 普通账号：将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源。委托的账号只能是账号，不能是联邦用户、IAM用户。 云服务：授权指定云服务使用其他云服务。详情请参见：委托其他云服务管理资源。 选择“持续时间”，填写“描述”信息。 单击“下一步”，进入给委托授权页面。 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 给委托授权即给其他账号授权，给用户组授权即给账号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见：给用户组授权。 当前委托支持添加Security Administrator权限，但为了保障您的账号安全，建议您按照业务场景为委托授予最小权限。 单击“确定”，委托创建完成。 委托方操作完成，将自己的账号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方号中管理委托资源。

用户组 用户组是用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限，可以基于权限对云服务进行操作。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图5 用户组

权限 IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，IAM用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示，如果您授予IAM用户弹性 云服务器ECS 的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图6 系统提示没有权限

IAM的使用对象 IAM的使用对象为管理员： 账号：账号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 推荐您在使用IAM前，开通 云审计 服务 CTS ，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：开通云审计服务。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

Internet Explorer浏览器下输入框提示信息无法自动消失怎么办 当用户进行登录、注册、绑定华为账号、创建用户、找回密码、修改密码等操作时，由于当前输入框不能完全支持Internet Explorer 8及以下版本的浏览器，所以出现输入框提示信息（如“最短不能少于5个字符”等提示信息）无法自动消失的情况，可以参照以下方法进行操作。 图1 提示信息无法消失 升级浏览器版本 将Internet Explorer浏览器升级到IE9及以上版本再进行操作。 更换浏览器 使用Firefox浏览器（38.0及以上版本）或Google Chrome浏览器（43.0及以上版本）进行操作。 父主题： 其他问题

操作步骤 进入 API Explorer 平台获取IAM用户Token接口。 选择Region，编辑获取用户Token接口的请求参数，进行具体的API调用。 Region 在Region下拉列表选取您需要访问的区域。 Params nocatalog为非必填，如果设置该参数，返回的响应体中将不显示catalog信息。任何非空字符串都将解释为true，并使该字段生效。 Body 通过切换输入方式可以选择表单填写或文本输入请求体。 表单填写：通过表单填写完成请求体，无需了解JSON语法，参考示例填写参数值。 文本输入：通过文本输入完成请求体，可以直接在编辑框内编写JSON格式的请求体。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "IAM用户所属账号名" }, "name": "IAM用户名", "password": "IAM用户的登录密码" } } }, "scope": { "domain": { "name": "IAM用户所属账号名" } } } } 参数说明请参见：请求参数。 如果是第三方系统用户，没有在本系统设置登录密码，可以通过系统登录页面的找回密码功能设置登录密码，并在password中输入新设置的密码。 单击调试，发送API请求。 在返回的响应体中查看获取的用户Token，用户调用IAM其他API接口时，可以使用该Token进行鉴权。 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 如果返回错误码，例如401，表示认证失败，请确认Request Body中请求参数填写正确后重新发送请求。

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

解决方法 可能原因：您已设置的API访问控制策略暂未生效。 解决方法：API访问控制策略应用后，将在2小时内生效，请耐心等待。 可能原因：当前区域暂不支持API访问控制功能。 解决方法：当前仅华北-北京四不支持API访问控制功能，建议您切换至其他区域使用。 获取IAM用户Token（使用密码）API不受ACL校验影响。 可能原因：API访问控制功能在对象存储服务（OBS）不生效。 解决方案：OBS服务暂不支持API访问控制策略，如需限制，请参考限制指定IP地址对桶的访问权限。

操作步骤 委托方登录华为云。 访问网址：API Explorer-为委托授予所有项目服务权限，进入API Explorer接口运行调试平台。 获取并编辑接口调试参数。 Region 调用API的区域。选择任一区域。 Headers X-Auth-Token：委托方Token。登录华为云后已自动获取，无需编辑。 Params agency_id 在控制台右上角的用户名下拉菜单中选择“统一身份认证”，进入IAM控制台，选择“委托”页签，将鼠标移动到需要查询ID的委托上，黑色框中出现的第二行为委托ID，单击委托ID右侧的直接复制。 domain_id 在控制台右上角的用户名下拉菜单中选择“我的凭证”，在“我的凭证”界面，“API凭证”页签中查看并复制账号ID。 role_id 权限ID。 权限名称 权限ID Tenant Administrator e2d75429549044d2b313fbdd11520f7d Tenant Guest c40fc1b70fb14140a61ac60c7c292874 role_id只能输入一个权限ID。如需修改多个委托权限，请分别调用该接口。 如需获取其它权限ID，请参见：查看权限列表。 单击“调试”，发送接口请求。 调试成功，为委托授予所有项目服务权限。

操作步骤 编辑获取用户Token接口的Request URL、Header、Body，进行具体的API调用。 Request URL 格式为：https://IAM地区与终端节点地址/API接口URI 访问网址：地区与终端节点，获取IAM区域与终端节点地址。 图1 IAM区域与终端节点 访问网址：获取用户Token，获取API接口的URI。 以cn-north-1为例，则Request URL为：https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 选择API接口获取方式，并将Request URL填写至postman中。 图2 Request URL示例 Request Header key：Content-Type，value：application/json;charset=utf8 图3 Headers参数示例 Request Body 修改Request Body样例中参数。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "domain": { "name": "账号名" }, "name": "IAM用户名", "password": "IAM用户密码" } } }, "scope": { "domain": { "name": "账号名" } } } } 登录 获取Token 的IAM用户，并获取账号名、IAM用户名，方法请参见：获取账号、IAM用户、项目名称和ID。 单击“Send”，发送API请求。 图4 发送API请求 在返回的响应头中查看获取的用户Token，用户调用IAM其他API接口时，可以使用该Token进行鉴权。 图5 获取Token 如果返回值为401，表示认证失败，请确认Request Body中请求参数填写正确后重新发送请求。 如果返回值为400，表示body体格式错误，请检查body体格式是否满足json语法。详细错误请参考获取token返回值。 如果您的调试结果异常，提示“Header Overflow”，可以参考故障处理解决Header溢出问题。

操作步骤 登录统一身份认证服务控制台。 在左侧导航窗格中，选择“安全设置”，单击“访问控制”页签。 访问控制仅对账号下的IAM用户生效，对账号本身不生效。 在“访问控制”界面中，选择控“控制台访问”页签，设置允许访问的IP地址或网段。 “允许访问的IP地址区间”：限制用户只能从设定范围内的IP地址登录。 “允许访问的IP地址或网段”：限制用户只能从设定的IP地址或网段登录。 例如：10.10.10.10/32 “允许访问的IP地址区间”和“允许访问的IP地址或网段”同时设置时只要满足其中一种即可允许访问。 单击“应用”。

操作步骤 当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图2 修改登录保护 在右侧弹出的“操作保护设置”页面中，选择“指定人员验证”，输入验证手机号/邮件地址、验证码。 图3 操作保护设置 单击“确定”，修改验证方式为指定人员验证。 当前验证方式为“指定人员验证” 进入华为云“控制台”。 图4 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图5 修改操作保护 在右侧弹出的“操作保护设置”页面中，选择“关闭”，单击“确定”并进行身份验证，关闭操作保护。 在“安全设置”页面，“敏感操作”页签中，单击操作保护右侧的“立即启用”。 在右侧弹窗中选择“开启”，勾选“操作员验证”或“指定人员验证”。 如选择“指定人员验证”，开启操作保护时，需要进行初次身份核验，确保指定人员验证方式可用。 操作员验证：触发敏感操作的账号或IAM用户进行二次验证。 指定人员验证：账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址，不支持虚拟MFA验证。 单击“确定”，修改操作保护验证方式。

问题描述 管理员开启操作保护后，用户在进行敏感操作时，例如删除资源、生成访问密钥等，需要操作员或指定人员进行验证，避免误操作带来的风险和损失。 开启操作保护后，默认在敏感操作验证成功后的15分钟之内，进行敏感操作无需再次验证。 如当前验证方式为“操作员验证”，修改为“指定人员验证”，请参考：•当前验证方式为“操作员验证”。 如当前验证方式为“指定人员验证”，修改为“操作员验证”或修改指定人员手机号/邮件地址，请参考：•当前验证方式为“指定人员验证”。

修订记录 表1 修订记录 日期 修订记录 2021-12-31 第二十八次正式发布。 新增以下章节： API访问控制策略不生效怎么办 2021-06-02 第二十七次正式发布。 新增以下章节： 账号被锁定怎么办 2021-04-27 第二十六次正式发布。 新增以下章节： 如何修改操作保护验证方式 2021-03-27 第二十五次正式发布。 新增以下章节： 账号管理类 2020-12-30 第二十四次正式发布。 根据登录界面变更、安全设置功能变更、界面词条变更进行全文刷新。 2020-12-28 第二十三次正式发布。 新增以下章节： 如何授予IAM用户不能支付订单、可以提交订单权限 2020-12-15 第二十二次正式发布。 优化以下章节： 无法找到特定服务的权限怎么办 2020-11-20 第二十一次正式发布。 新增以下章节： 如何通过API Explorer获取用户Token 优化以下章节： 如何通过Postman获取用户Token 2020-10-27 第二十次正式发布。 根据HUAWEI ID登录方式下线刷新以下章节图片： 忘记密码怎么办 忘记密码怎么办 2020-09-27 第十九次正式发布。 新增以下章节： 虚拟MFA验证码校验不通过怎么办 2020-09-11 第十八次正式发布。 根据登录方式变更刷新以下章节图片： 忘记密码怎么办 IAM用户登录失败怎么办 2020-09-10 第十七次正式发布。 新增以下章节： Token鉴权失败怎么办 2020-06-08 第十六次正式发布。 根据新增HUAWEI ID登录方式变更以下章节内容或图片： 忘记密码怎么办 IAM用户登录失败怎么办 2020-01-02 第十四次正式发布。 根据界面风格变化刷新各章节图片。 2019-09-02 第十三次正式发布。 新增IAM用户登录失败怎么办章节。 2019-08-20 第十二次正式发布。 新增区域和可用区章节。 2019-08-09 第十一次正式发布。 新增如何关闭操作保护章节。 2019-07-13 第十次正式发布。 根据界面变更修改以下章节： 如何开启登录验证功能 如何绑定虚拟MFA设备 如何解绑、重置虚拟MFA 如何修改密码 2019-07-04 第九次正式发布。 根据界面变更修改忘记密码怎么办章节。 2019-06-11 第八次正式发布。 新增无法找到特定服务的权限怎么办章节。 新增权限没有生效怎么办章节。 新增创建委托时提示权限不足怎么办章节。 2019-06-06 第七次正式发布。 新增如何修改密码章节。 新增IAM用户和企业子账号的区别章节。 2019-05-22 第六次正式发布。 新增如何获取Security Administrator权限的Token章节。 2019-03-11 第五次正式发布。 新增忘记密码怎么办章节。 2019-02-20 第四次正式发布。 新增IAM和企业管理的区别章节。 2018-07-02 第二次正式发布。 新增如何通过Postman获取用户Token章节。 2018-04-30 第一次正式发布。

解决方法 请选择正确的登录入口。请确认您输入的账号为华为账号或华为云账号，如果您已升级华为账号，请进入“华为账号登录”入口，如图1。如果您暂未升级华为账号，请进入“华为云账号登录”入口，如图2。 如需通过华为官网账号、华为企业合作伙伴、企业联邦用户登录华为云，请参考：登录华为云。 如果您是IAM用户，请进入“IAM用户登录”入口。如果您登录失败，请参考：IAM用户登录失败怎么办。 图1 华为账号登录 图2 华为云账号 “华为账号登录”方式登录华为云时，支持使用手机号、邮件地址、华为账号名、华为云账号名登录。“华为云账号登录”方式登录时，支持使用华为云账号名、邮件地址登录。 如果您已 注册华为账号 ，请输入华为账号绑定的手机号/邮件地址/华为账号名登录华为云，详情请参考：华为账号登录华为云。 如果您未注册华为账号、已注册华为云账号，且华为云账号暂未升级华为账号，请输入原华为云账号名登录。 如您通过华为账号登录，请输入华为账号的密码。如您通过华为云账号登录，请输入华为云账号的密码。

Security Administrator权限说明 表1 Security Administrator权限说明 权限名称 所属区域 权限描述 Security Administrator 全局 IAM的管理员权限，可以对IAM执行所有操作，包括但不限于： 创建、修改、删除IAM用户。 创建、修改、删除用户组、给用户组授权。 创建、修改、删除自定义策略。 创建、修改项目。 创建、修改、删除委托。 创建、修改、删除身份提供商。 设置账号安全策略。

获取方法 您是账号本身，需要为自己创建一个IAM用户，授予该用户Security Administrator权限后，调用获取用户Token接口即可获取具有Security Administrator权限的Token。 您是账号下的IAM用户，需要管理员给您授予Security Administrator权限后，才能获取具有Security Administrator权限Token，否则只能获取您自身已有权限的Token。

问题排查 可能原因：管理员授予IAM用户所在用户组的权限不正确。 解决方法：管理员确认并修改授予IAM用户所在用户组的权限，方法请参考：修改用户组权限，权限详情请参考：系统权限。 可能原因：管理员授予的权限已拒绝相关操作的授权项。 解决方法：管理员查看已授予IAM用户的系统权限详情，确认已授予的权限是否有拒绝操作的语句，方法请参考策略语法。如系统权限无法满足您的场景需要，管理员可以创建自定义策略，允许该操作对应的授权项，方法请参考：创建自定义策略。 可能原因：管理员给用户组授予权限后，忘记将IAM用户添加至用户组中。 解决方法：管理员将IAM用户添加至用户组中，方法请参见：用户组添加用户。 可能原因：对于区域级服务，管理员没有在在对应的区域进行授权。 解决方法：管理员在对IAM所在用户组授权时，选择对应的区域。如果管理员授予用户默认区域项目的权限，用户只能访问该默认项目中的资源，不拥有该默认项目下IAM子项目的权限，建议您授予IAM用户最小区域权限，方法请参见：给用户组授权。 可能原因：对于区域级服务，IAM用户登录控制台后，没有切换到授权区域。 解决方法：IAM用户访问区域级服务时，请切换至授权区域，方法请参见：切换区域。 可能原因：管理员授予的OBS权限由于系统设计的原因，授权后需等待15-30分钟才可生效。 解决方法：请IAM用户和管理员等待15-30分钟后重试。 可能原因：您所属账号已欠费，无法使用该资源。 解决方法：请管理员在“费用中心”确认账单并充值，方法请参见：账户充值。 可能原因：浏览器缓存导致权限信息未更新。 解决方法：请清理浏览器缓存后重试。 可能原因：该服务可能提供独立权限控制，如软件开发生产线 CodeArts、对象存储服务OBS。 解决方法：请查看对应服务帮助文档，并授予用户对应权限。如CodeArts各角色的权限是怎样的、OBS权限控制概述。 可能原因：管理员同时在IAM和企业管理给用户授权，基于企业项目管理权限可能不生效。IAM鉴权优先于企业管理，如IAM用户同时拥有所有资源的ECS ReadOnlyAccess、企业项目A的ECS ReadOnlyAccess权限，用户可以查看所有ECS资源。 解决方法：请管理员根据情况在IAM控制台修改用户权限。

问题排查 系统提示“用户名或密码错误” 可能原因：IAM用户登录时，未切换IAM登录入口。 解决方法：单击“IAM用户”，切换登录入口。 可能原因：租户名/原华为云账号名和IAM用户名输入错误。 解决方法：输入正确的租户名/原华为云账号名和IAM用户名。如果您不知道IAM用户名和所属账号，请联系管理员。 可能原因：密码输入错误。 解决方法：输入正确的密码，如确认字母大小写等。如果您忘记密码，请参考以下方法找回：忘记密码怎么办。 可能原因：修改过期密码或找回密码后，浏览器缓存信息未刷新。 解决方法：请清理浏览器缓存后，重新登录。 系统提示“您的管理员已设置了控制台ACL规则，禁止您所在的终端登录控制台” 可能原因：管理员在IAM控制台设置了访问控制规则，不允许您所在的IP地址区间、IP地址或网段、VPC Endpoint访问华为云。 解决方法：请联系管理员查看控制台ACL规则，从允许访问的设备登录华为云或由管理员修改访问控制规则。详情请参考：访问控制。

忘记账号密码 在华为账号登录页面，单击“忘记密码”。 图3 忘记华为账号密码 输入账号名或注册账号的手机号/邮件地址，单击“下一步”。 图4 输入信息 如果您在2输入了注册账号的账号名/手机号/邮箱，选择获取验证码。 按照界面提示填写验证信息，单击“下一步”。 如果无法接收验证码，请参考无法获取验证码进行处理。 选择找回密码的账号为华为云账号且手机号不可用时，请联系人工客服获取帮助：中国大陆+864000955988、中国香港+852800931122，或提交工单。 选择找回密码的账号为华为账号且手机号/邮件地址不可用时，请通过自助申诉更改账号绑定的手机号/邮件地址，申诉成功后再通过新绑定的手机号/邮件地址重置密码。 （可选）选择找回密码的账号为华为账号，可以参考以下步骤进行找回： 立即注册：如果您已忘记密码，可使用免费的花瓣邮件地址来注册新的华为账号。根据步骤完成账号注册。注册成功后，当前手机号将作为您的安全手机号。 新注册的账号，无法使用原账号的资源。 继续找回密码：仍然找回当前华为账号的密码。 如果未在经常使用的设备上找回密码，则需要进行验证。单击“立即验证”。建议选择熟悉信息的验证方式进行验证。单击“下一步”。 验证信息。需要验证以下信息： 手机实名信息： 安全信息： 基本信息 历史信息 设备信息 完成信息填写。单击“开始验证”。输入相关信息，单击“提交”。若以上方式均无法重置华为账号密码，请通过《华为账号找密失败申诉》申诉处理，申诉结果将以短信的形式通知您。若申诉通过，请您在24小时内单击忘记密码或找回密码，设置新密码。 输入新密码并确认密码，单击“确定”。 （可选）选择找回密码的账号为华为账号时，可以根据界面指引绑定虚拟MFA设备，提升找回密码成功率。如需了解虚拟MFA请参考：多因素认证与虚拟MFA。 单击“立即返回”，使用新设置的密码登录华为云。

升级华为账号后，还可以用原华为云账号登录吗 您已经注册过华为账号 如果华为账号与华为云账号信息（手机号码、邮件地址、账号名）一致，可继续使用原华为云账号登录；如果华为账号与华为云账号的部分信息不一致，就不能用原华为云不一致的信息登录（例如：手机号码相同，邮件地址不同时，不能用原华为云账号中的邮件地址登录）。 您从未注册过华为账号 升级后账号登录信息不变，您可继续用原手机号码、邮件地址、账号名登录。 父主题： 账号管理类

临时安全凭证与永久安全凭证的差异 临时安全凭证存在有效期，可以在15分钟至24小时之间进行设置；永久安全凭证的有效期为永久，并且不能进行设置。 临时安全凭证没有数量限制；每个IAM用户最多可创建2个永久安全凭证。 临时安全凭证通过接口临时访问密钥AK/SK获取；永久安全凭证通过我的凭证界面控制台获取。 临时安全凭证为动态生成，即时使用，不能嵌入应用程序中，或者进行存储，到期后无法重复使用，只能重新获取。

示例 以员工表emp，表的属主alice及角色matu、july为例，简要介绍数据脱敏过程。其中，表emp包含员工的姓名、手机号、邮箱、银行卡号、薪资等隐私数据 使用管理员用户连接数据库后，创建角色alice、matu和july。 1 2 3 CREATE ROLE alice PASSWORD 'password'; CREATE ROLE matu PASSWORD 'password'; CREATE ROLE july PASSWORD 'password'; 赋予alice、matu和july当前数据库的模式权限。 1 GRANT ALL PRIVILEGES on schema public to alice,matu,july; 切换至角色alice，创建表emp并插入三条员工信息。 1 2 3 4 5 6 7 SET ROLE alice PASSWORD 'password'; CREATE TABLE emp(id int, name varchar(20), phone_no varchar(11), card_no number, card_string varchar(19), email text, salary numeric(100, 4), birthday date); INSERT INTO emp VALUES(1, 'anny', '13420002340', 1234123412341234, '1234-1234-1234-1234', 'smithWu@163.com', 10000.00, '1999-10-02'); INSERT INTO emp VALUES(2, 'bob', '18299023211', 3456345634563456, '3456-3456-3456-3456', '66allen_mm@qq.com', 9999.99, '1989-12-12'); INSERT INTO emp VALUES(3, 'cici', '15512231233', NULL, NULL, 'jonesishere@sina.com', NULL, '1992-11-06'); alice将表emp的读取权限授予matu、july。 1 GRANT SELECT ON emp TO matu, july; 创建脱敏策略mask_emp，仅alice可查看员工所有信息，matu和july对员工银行卡号和薪资数据不可见。字段card_no是数值类型，采用MASK_FULL全脱敏成固定值0；字段card_string是字符类型，采用MASK_PARTIAL按指定的输入输出格式对原始数据进行部分脱敏；字段salary是数值类型，采用MASK_PARTIAL指定数字9部分脱敏倒数第二位前的所有数位值。 1 2 3 4 CREATE REDACTION POLICY mask_emp ON emp WHEN (current_user IN ('matu', 'july')) ADD COLUMN card_no WITH mask_full(card_no), ADD COLUMN card_string WITH mask_partial(card_string, 'VVVVFVVVVFVVVVFVVVV','VVVV-VVVV-VVVV-VVVV','#',1,12), ADD COLUMN salary WITH mask_partial(salary, '9', 1, length(salary) - 2); 切换到matu和july，查看员工表emp。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 SET ROLE matu PASSWORD 'password'; SELECT * FROM emp; id | name | phone_no | card_no | card_string | email | salary | birthday ----+------+-------------+---------+---------------------+----------------------+------------+--------------------- 1 | anny | 13420002340 | 0 | ####-####-####-1234 | smithWu@163.com | 99999.9990 | 1999-10-02 00:00:00 2 | bob | 18299023211 | 0 | ####-####-####-3456 | 66allen_mm@qq.com | 9999.9990 | 1989-12-12 00:00:00 3 | cici | 15512231233 | | | jonesishere@sina.com | | 1992-11-06 00:00:00 (3 rows) SET ROLE july PASSWORD 'password'; SELECT * FROM emp; id | name | phone_no | card_no | card_string | email | salary | birthday ----+------+-------------+---------+---------------------+----------------------+------------+--------------------- 1 | anny | 13420002340 | 0 | ####-####-####-1234 | smithWu@163.com | 99999.9990 | 1999-10-02 00:00:00 2 | bob | 18299023211 | 0 | ####-####-####-3456 | 66allen_mm@qq.com | 9999.9990 | 1989-12-12 00:00:00 3 | cici | 15512231233 | | | jonesishere@sina.com | | 1992-11-06 00:00:00 (3 rows) 若需要matu也有员工所有信息的查看权限，只有july不可见，修改策略生效范围即可。 1 2 SET ROLE alice PASSWORD 'password'; ALTER REDACTION POLICY mask_emp ON emp WHEN(current_user = 'july'); 切换到matu和july，重新查看员工表emp。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 SET ROLE matu PASSWORD 'password'; SELECT * FROM emp; id | name | phone_no | card_no | card_string | email | salary | birthday ----+------+-------------+------------------+---------------------+----------------------+------------+--------------------- 1 | anny | 13420002340 | 1234123412341234 | 1234-1234-1234-1234 | smithWu@163.com | 10000.0000 | 1999-10-02 00:00:00 2 | bob | 18299023211 | 3456345634563456 | 3456-3456-3456-3456 | 66allen_mm@qq.com | 9999.9900 | 1989-12-12 00:00:00 3 | cici | 15512231233 | | | jonesishere@sina.com | | 1992-11-06 00:00:00 (3 rows) SET ROLE july PASSWORD 'password'; SELECT * FROM emp; id | name | phone_no | card_no | card_string | email | salary | birthday ----+------+-------------+---------+---------------------+----------------------+------------+--------------------- 1 | anny | 13420002340 | 0 | ####-####-####-1234 | smithWu@163.com | 99999.9990 | 1999-10-02 00:00:00 2 | bob | 18299023211 | 0 | ####-####-####-3456 | 66allen_mm@qq.com | 9999.9990 | 1989-12-12 00:00:00 3 | cici | 15512231233 | | | jonesishere@sina.com | | 1992-11-06 00:00:00 (3 rows) 员工信息phone_no、email和birthday也是隐私数据，更新脱敏策略mask_emp，新增三个脱敏列。 1 2 3 4 SET ROLE alice PASSWORD 'password'; ALTER REDACTION POLICY mask_emp ON emp ADD COLUMN phone_no WITH mask_partial(phone_no, '*', 4); ALTER REDACTION POLICY mask_emp ON emp ADD COLUMN email WITH mask_partial(email, '*', 1, position('@' in email)); ALTER REDACTION POLICY mask_emp ON emp ADD COLUMN birthday WITH mask_full(birthday); 切换到july，查看表emp数据。 1 2 3 4 5 6 7 8 SET ROLE july PASSWORD 'password'; SELECT * FROM emp; id | name | phone_no | card_no | card_string | email | salary | birthday ----+------+-------------+---------+---------------------+----------------------+------------+--------------------- 1 | anny | 134******** | 0 | ####-####-####-1234 | ********163.com | 99999.9990 | 1970-01-01 00:00:00 2 | bob | 182******** | 0 | ####-####-####-3456 | ***********qq.com | 9999.9990 | 1970-01-01 00:00:00 3 | cici | 155******** | | | ************sina.com | | 1970-01-01 00:00:00 (3 rows) 通过视图redaction_policies和redaction_columns查看当前脱敏策略mask_emp的详细信息。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 SELECT * FROM redaction_policies; object_schema | object_owner | object_name | policy_name | expression | enable | policy_description | inherited ---------------+--------------+-------------+-------------+-----------------------------------+--------+--------------------+----------- public | alice | emp | mask_emp | ("current_user"() = 'july'::name) | t | | f (1 row) SELECT object_name, column_name, function_info FROM redaction_columns; object_name | column_name | function_info -------------+-------------+------------------------------------------------------------------------------------------------------- emp | card_no | mask_full(card_no) emp | card_string | mask_partial(card_string, 'VVVVFVVVVFVVVVFVVVV'::text, 'VVVV-VVVV-VVVV-VVVV'::text, '#'::text, 1, 12) emp | email | mask_partial(email, '*'::text, 1, "position"(email, '@'::text)) emp | salary | mask_partial(salary, '9'::text, 1, (length((salary)::text) - 2)) emp | birthday | mask_full(birthday) emp | phone_no | mask_partial(phone_no, '*'::text, 4) (6 rows) 新增一列salary_info，若需要将文本类型的薪资信息统一脱敏成“*.*”，可以创建自定义脱敏函数实现。此处采用PL/PGSQL语言定义脱敏函数mask_regexp_salary，创建脱敏列时，只需自定义脱敏的函数名和参数列表，详细内容可参考用户自定义函数。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 SET ROLE alice PASSWORD 'password'; ALTER TABLE emp ADD COLUMN salary_info TEXT; UPDATE emp SET salary_info = salary::text; CREATE FUNCTION mask_regexp_salary(salary_info text) RETURNS text AS $$ SELECT regexp_replace($1, '[0-9]+','*','g'); $$ LANGUAGE SQL STRICT SHIPPABLE; ALTER REDACTION POLICY mask_emp ON emp ADD COLUMN salary_info WITH mask_regexp_salary(salary_info); SET ROLE july PASSWORD 'password'; SELECT id, name, salary_info FROM emp; id | name | salary_info ----+------+------------- 1 | anny | *.* 2 | bob | *.* 3 | cici | (3 rows) 无需为表emp设置敏感策略，删除脱敏策略mask_emp。 1 2 SET ROLE alice PASSWORD 'password'; DROP REDACTION POLICY mask_emp ON emp;