图2 进入统一身份认证服务 进入IAM控制台,在左侧导航栏中,选择“安全设置”页签,进入“安全设置”。 父主题: 安全设置
图1 修改委托 云服务委托支持修改云服务、持续时间、描述、权限,委托名称、类型不支持修改。 修改云服务委托权限后可能会影响该云服务部分功能的使用,请谨慎操作。 删除委托 如果不再需要使用委托,可以在委托列表中,单击委托右侧的“删除”,删除委托。
设置密码策略 进入安全设置后,选择“密码策略”页签,可以对密码设置策略、密码有效期策略、密码最短使用时间策略进行修改。 只有管理员可以设置密码策略,普通IAM用户只有查看权限,不能对其进行设置,如需使用,请联系IAM管理员为您操作或添加权限。 建议IAM管理员设置密码策略,例如密码最小长度
查看策略内容 可以单击策略名称查看策略所包含的内容,从而进行选用策略。 查看策略内容 在左侧导航栏选择“用户组”,单击需授权的用户组“操作”列下的“授权”。 给用户组选择策略时,单击策略前面的,可以查看策略的详细内容,以系统策略“IAM ReadOnlyAccess”为例。 图1
权限基本概念 IAM权限基本概念 系统策略更名详情 角色语法介绍 策略语法介绍 策略变量 父主题: 权限管理
用户在USB KEY证书的时间内必须重新申请,否则USB KEY将会失效,无法登录云服务平台。USB KEY证书过期提前提醒时间默认为10天,可以在1~10天之间进行设置。 修改USB KEY证书策略,将对账号以及账号下的IAM用户立即生效。 父主题: 安全设置
查看IAM项目授权情况,请选择: 全局服务:查看所有全局服务授权记录。 所有项目:查看基于所有项目授权的授权记录。基于“所有项目”授权,权限对所有项目都生效,包括全局服务和所有项目(包括未来创建的项目)。
使用CTS审计IAM操作事件 IAM支持审计的关键操作 在CTS事件列表查看云审计事件
配置安全密钥 本章主要为您介绍如何绑定安全密钥和如何解绑安全密钥。 约束与限制 IAM用户绑定安全密钥仅能应用于登录保护。 一个IAM用户最多支持绑定8个安全密钥。 如何绑定安全密钥 管理员登录IAM控制台。 管理员在用户列表中,单击用户名称,或单击右侧的“安全设置”,进入用户详情页面
500 内部服务错误。 503 服务不可用。 错误码 无 父主题: 区域管理
500 内部服务错误。 错误码 无 父主题: 委托管理
500 内部服务错误。 错误码 无 父主题: 委托管理
企业项目管理 查询企业项目关联的用户组 查询企业项目关联用户组的权限 基于用户组为企业项目授权 删除企业项目关联用户组的权限 查询用户组关联的企业项目 查询用户直接关联的企业项目 查询企业项目直接关联用户 查询企业项目直接关联用户的权限 基于用户为企业项目授权 删除企业项目直接关联用户的权限
联邦身份认证管理 通过联邦认证获取token 身份提供商 映射 协议 Metadata Token 临时访问密钥 查询联邦用户可以访问的账号列表 查询联邦用户可以访问的项目列表 父主题: API
访问密钥限制性保护说明 访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证。大量业内云上安全事件表明,访问密钥的泄漏可导致黑客利用访问密钥控制该账号进行退订、删除云上资源等操作,从而破坏云上业务的正常运行
自定义策略 创建自定义策略 修改或删除自定义策略 自定义策略示例 支持IAM资源粒度授权的云服务 父主题: 权限管理
操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。 更多有关登录保护和操作保护的介绍,请参见:开启或关闭敏感操作。 约束与限制 一个IAM用户仅支持绑定一个虚拟MFA。
IAM用户拥有权限后,IAM用户就可以基于权限对云服务进行操作。 “admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云服务资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
请排查要删除的用户是否有其他服务或场景在使用,若无法确定,建议先使用"停用"功能,以免业务运行失败后无法回退。如需暂时停用IAM用户,请参考基本信息,批量停用请参考批量修改IAM用户信息。 如需将IAM用户从某个用户组移除,请参见:用户组添加/移除用户。
用户组概述 用户组介绍 用户组是IAM用户的集合,利用用户组可以为多个IAM用户指定权限,使得管理IAM用户权限更加方便。 例如,账号默认会有一个预置的admin用户组,这个用户组是管理员用户组,拥有所有操作权限。加入admin用户组的IAM用户会自动拥有管理员权限,如果有新用户加入您的组织并且需要管理员权限
