华为云-统一身份认证服务

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业什么是统一身份认证统一身份认证（IdentityandAccessManagement，简称IAM）是支撑企业级自助的云端资源管理系统，具有用户身份管理和访问控制的功能。使用IAM，您可以管理用户（比如员工、系统或应用程序）账号，并且可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时，使用IAM可以让您避免与其他用户共享账号密钥，按需为用户分配最小权限，也可以通过设置登录验证策略、密码策略、访问控制列表来确保用户账户的安全，从而降低您的企业信息安全风险。如何管理用户组并授权企业中拥有“SecurityAdministrator”权限的用户根据用户职责规划用户组，赋予用户组对应职责的权限，使得用户组中的用户拥有对应的权限。通过用户组来管理用户权限可以使权限管理更有条理。前提条件登录用户已具备“SecurityAdministrator”权限。操作步骤选择“管理与部署>统一身份认证服务”。在左侧导航窗格中，单击“用户组”。在“用户组”界面中，单击“创建用户组”。输入“用户组名称”。（可选）输入“描述”。单击“确定”。返回用户组列表，用户组列表中显示新创建的用户组。单击新建用户组“操作”列的“修改”。进入“修改用户组”界面。在“用户组权限”区域中，单击需要设置的项目对应的“修改”。在“修改用户组权限”对话框中的“可选择权限集”区域选择需要的云资源权限集。

说明：系统默认提供的云资源权限集说明请参见：。选中某一权限集名称，在下侧“权限集信息”区域可以查看该权限集的详细信息（JSON格式）。具体说明请参见：。单击“确定”。在“包含用户”的下拉复合框中，选择用户加入到用户组。

说明：您也可以通过输入关键字快速找到相关用户。单击“确定”。操作结果创建的用户组会显示在用户组列表中。后续处理在用户组列表中，单击

可查看用户组的详细信息。权限说明权限包括用户管理权限和云资源权限。用户管理实现用户的创建、删除、修改和为用户授予相应的权限。云资源权限包括对云资源的创建、删除、修改、设置等操作的权限。为用户组添加云资源权限，再将用户加入用户组，可以使用户继承用户组的权限。通过用户组来管理用户权限可以使权限管理更有条理，避免权限管理的混乱。权限关系默认权限系统默认提供两种权限：用户管理权限和资源管理权限。用户管理权限可以管理用户、用户组及用户组的权限。具体权限请参见。表1

用户管理权限节点名称权限名称权限说明基本SecurityAdministrator拥有该权限的用户，可以执行以下操作：创建、删除、修改用户。为用户授权。IAMAgentOperator拥有该权限的用户，可以切换到被委托的用户，拥有被委托用户的权限处理业务。资源管理权限可以控制用户对云服务资源执行的操作。具体权限请参见。

说明：对象存储服务和其他云资源隔离部署，因此对象存储服务仅有“TenantAdministrator”和“TenantGuest”权限。表2

资源管理权限节点名称权限名称管理的云服务权限说明基本TenantAdministrator所有服务拥有该权限的用户可以对企业拥有的所有云资源执行任意操作。TenantGuest所有服务拥有该权限的用户可以查询企业拥有的所有云资源的利用情况。ServerAdministrator云硬盘弹性云服务器虚拟私有云拥有该权限的用户，可以执行以下操作：创建、删除、修改云硬盘。创建、删除、修改弹性云服务器。同时拥有TenantGuest权限时，可以对安全组、安全组规则、端口、防火墙、弹性IP地址、带宽执行任意操作。Anti-DDoSAnti-DDoSAdministrator流量清洗服务拥有该权限的用户同时拥有TenantGuest权限时，可以对流量清洗服务执行任意操作。APMAPMAdmin微服务云应用平台拥有该权限的用户可以管理帐户监控的数据。CCSCCSAdministrator云目录服务拥有该权限的用户可以自定义产品、自定义产品组合、产品绑定产品组合、自定义版本、添加授权、添加约束、产品实例运维、管理配额。CCSUser云目录服务拥有该权限的用户可以查看产品、管理产品实例。CDECDEAdmin微服务云应用平台拥有该权限的用户可以管理帐户的应用编排。CDEDeveloper微服务云应用平台拥有该权限的用户可以编排应用。CTSCTSAdministrator云审计服务拥有该权限的用户同时拥有TenantGuest和TenantAdministrator（OBS部署区域）权限可以执行以下操作：开通服务。创建、修改、停用、启用追踪器。接收、查看事件。若拥有该权限的用户没有TenantAdministrator（OBS部署区域）权限，用户事件将无法存储到OBS桶。CRSCRSAdministrator云报表服务拥有该权限的用户可以在云报表服务中执行以下操作：对数据源进行连接、删除、修改、查询。对数据集进行创建、删除、修改、查询、预览。对工作表进行创建、删除、修改、查询、数据分析。对仪表盘进行创建、删除、修改、查询。对配额进行查询。DWSDWSAdministrator数据仓库服务拥有该权限的用户同时拥有TenantGuest和ServerAdministrator权限时，可以对DWS资源执行任意操作。如果没有TenantGuest或ServerAdministrator权限，将无法正常使用DWS。拥有VPCAdministrator权限的DWS用户可以创建VPC或子网。KMSKMSAdministrator密钥管理服务拥有该权限的用户可以执行以下操作：创建、启用、禁用、计划删除、取消计划删除密钥。查询密钥列表。查询密钥信息。创建随机数、数据密钥、不含明文数据密钥。加密、解密数据密钥。SVCSTGSvcStgAdmin微服务云应用平台拥有该权限的用户可以进行帐户注册审批、服务上架审批、服务订阅审批。SvcStgDeveloper微服务云应用平台拥有该权限的用户可以申请、使用、释放资源，配置代码库，操作软件仓库。SvcStgOperator微服务云应用平台拥有该权限的用户可以监控全局资源，对平台数据进行备份恢复，以及资源回收。SWRSWRAdmin微服务云应用平台拥有该权限的用户可以管理帐户的软件仓库。MRSMRSAdministratorMapReduce服务拥有该权限的用户可以查看MRS概览信息、集群相关信息、作业信息、HDFS文件操作信息、操作日志、告警列表以及MRSManager页面。RDSRDSAdministrator关系型数据库文档数据库服务拥有该权限的用户同时拥有TenantGuest和ServerAdministrator权限时，可以对RDS、DDS服务执行任意操作，例如：创建、删除实例。重启、扩容、配置数据库参数。恢复实例。拥有该权限的用户没有TenantGuest或ServerAdministrator权限，将无法正常使用RDS、DDS。说明：拥有VPCAdministrator权限的用户可以创建VPC或子网。拥有CESAdministrator权限的用户可以修改或添加对实例的告警规则。DISDISAdministrator数据接入服务具备以下操作权限：创建、删除、查询stream、查询stream列表。对stream进行上传、下载数据。查询stream监控指标。DPSDPSAdministrator数据调度服务具备以下操作权限：创建pipeline、删除pipeline、修改pipeline定义、获取pipeline定义、校验pipeline定义。运行pipeline、停止运行pipeline、配置调度信息、停止调度pipeline。获取pipeline列表，获取pipeline实例列表、获取算子实例列表、获取计算资源、获取算子属性。权限集信息在编辑用户组权限的“可选权限集”或“已选择权限集”区域框，选中某一权限集名称，下侧区域则显示该权限集的详细信息（JSON格式）。每个权限集的详细信息包括一个或多个语句，每个语句描述一组权限。下面是一个权限集信息的示例，参数说明如所示。{"Version":"1.0","Statement":[{"Effect":"Allow","Action":["VPC:vpc:*","VPC:router:*","VPC:network:*","VPC:subnet:*","VPC:privateip:*","VPC:port:*","VPC:vpn:*"]}],"Depends":[{"catalog":"BASE","display_name":"TenantGuest"}]}表3

参数说明参数含义参数值Version版本号。例如：1.0Statement（系统定义的JSON语句）Effect定义Action所包含的操作是否允许执行。取值范围：Allow：允许执行。Deny：不允许执行。Action定义在服务上可执行的具体操作。服务名称:操作名称例如：VPC:subnet:*：表示对子网的所有操作（其中VPC为服务名称；“*”为通配符，表示所有操作）。Depends（该权限集所依赖的其他权限集）catalog依赖的其他权限集的所属服务。服务名称例如：BASEdisplay_name依赖的其他权限集的名称。权限集名称例如：TenantGuest如何管理用户当企业需要为新增人员创建用户，或为API、CLI、SDK等开发工具访问云服务创建用户时，拥有“SecurityAdministrator”权限的用户可以创建新用户并设置其访问凭证，以及使该用户加入相应的用户组使其继承所属用户组的权限。前提条件登录用户已具备“SecurityAdministrator”权限。操作步骤选择“管理与部署>统一身份认证服务”。在左侧导航窗格中，单击“用户”。在“用户”界面，单击“创建用户”。在“创建用户”界面，输入“用户名”。选择“凭证类型”。密码

说明：适用于登录管理控制台，或者使用支持密码认证的API、CLI、SDK等开发工具来访问云服务。访问密钥

说明：适用于使用支持密钥认证的API、CLI、SDK等开发工具来访问云服务。在“所属用户组”的下拉复合框中，选择需要添加的用户组。

说明：您也可以通过输入关键字快速找到相关用户组。“凭证类型”选中“密码”。请执行。“凭证类型”选中“访问密钥”。单击“确认”。下载生成的密钥，创建用户操作完成。

说明：如果不下载生成的密钥则无法获取对应的访问密钥，请您根据实际情况进行操作。单击“下一步”。选择“密码生成方式”。选择填写“邮箱”和“手机”。首次登录时设置：系统会通过邮件发送一次性登录链接给用户。用户使用该链接登录管理控制台时设置密码。自动生成：由系统随机生成10位密码。适用于使用支持密码认证的API、CLI、SDK等开发工具来访问云服务。

说明：自动生成的密码可以在单击“确认”后下载。自定义：自定义用户的登录密码。

说明：只有当用户同时绑定“邮箱”和“手机”，才能使用登录时短信验证功能，该功能的开启方法请参见《我的凭证用户指南》中“如何修改“我的凭证”信息”。用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录系统。当用户忘记密码时，可以通过此处绑定的邮箱或手机号码来重置密码。密码复杂度要求如下：密码不能是用户名或者用户名的倒序（不区分大小写），例如：用户名为A12345，则密码不能为A12345、a12345、54321A和54321a；不能少于6个字符且不超过32个字符；包括大写字母（A~Z），小写字母（a~z），数字（0~9）和特殊字符（空格!"#$%&'()*+,-./:;<=>？@[]^`{_|}~）至少2种的组合。单击“确定”。创建用户完成。后续处理查看用户的详细信息：在用户列表中，单击可查看用户的详细信息。修改用户的基本信息：在用户列表中，单击“修改”，修改用户的基本信息。修改用户所属的用户组：在用户列表中，单击“修改”，在“修改用户”界面的“所属用户组”区域增加或删除用户所属的用户组。删除用户：在用户列表中，单击“删除”，删除对应的用户。设置用户凭证：在用户列表中，单击“设置凭证”，修改用户的凭证或设置密钥。如何创建委托当企业期望降低运营成本，或者委托更专业的人或团队来代理管理云资源时，企业中拥有“SecurityAdministrator”权限的用户可以通过创建委托的方式和其他企业帐号建立委托关系，由被委托企业帐号代理管理云资源，实现云资源安全高效的管理工作。前提条件登录用户已具备“SecurityAdministrator”权限。操作步骤选择“管理与部署>统一身份认证服务”。在左侧导航窗格中，单击“委托”。在“委托”页面，单击“创建委托”。在“创建委托”页面，设置“委托名称”和“委托类型”。如果选择“委托类型”为“普通帐户”，在“委托的帐户”中输入委托帐户名称。如果选择“委托类型”为“云服务”，单击“选择”，选择需要委托管理的云服务。设置“持续时间”及“描述”信息。在“权限选择”区域中，单击需要设置的区域或项目对应的“修改”。在“修改权限”对话框中的“可选择权限集”区域，给委托企业选择对应的权限集。

说明：具体权限集说明请参见：。单击“确定”。委托列表中显示新创建的委托。后续操作在委托列表中，单击“修改”，可以修改新建委托的基本信息，包括委托的帐号、持续时间等。如何切换角色委托创建成功后，使用被委托的企业管理员帐户登录云服务系统，通过切换角色的方式为创建委托的企业进行云资源管理，实现云资源安全高效的管理工作。前提条件登录用户已具备“te_agency”权限。委托已创建成功。操作步骤单击右上方已登录的帐户，选择“切换角色”。在“切换角色”页面，输入“帐户”，在“委托名称”下拉框中选择目标委托。单击“确定”，进入委托帐户页面。后续操作单击右上角切换的委托帐户，选择“切换至”，可以实现帐户回切操作。如何设置帐户安全策略企业中拥有SecurityAdministrator权限的用户可以设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统的安全性。前提条件登录用户已具备“SecurityAdministrator”权限。操作步骤选择“管理与部署>统一身份认证服务”。设置登录验证策略。在左侧导航窗格中，选择“帐户设置>登录验证策略”。在“帐户锁定策略”区域输入“限定时间长度”、“限定时间内登录失败次数”、“帐号锁定时长”。如果在限定时间长度内达到登录失败次数后，用户帐户会被锁定一段时间。在“帐户停用策略”区域，选中“如果帐户在有效期内未使用过，则将被停用”复选框，设置“帐户有效期限”。

说明：该策略仅针对企业管理员创建的用户生效，对企业管理员不生效。系统默认的帐户有效期限为120天，用户可在1～240天的范围内设置。在“最近登录提示”区域中，选中“登录成功时，将看到上次登录的时间等信息”。用户将在“登录验证”页面中看到上次登录的时间等登录提示信息。在“登录验证提示”区域，可以自定义登录成功时的验证信息。用户将在“登录验证”页面中看到自定义的验证提示信息。单击“应用”。设置密码策略。在左侧导航窗格中，选择“帐户设置>密码策略”。

说明：密码复杂度要求如下：密码不能是用户名或者用户名的倒序（不区分大小写），例如：用户名为A12345，则密码不能为A12345、a12345、54321A和54321