华为云用户手册

敏感操作有哪些 当您开启操作保护后，进行以下操作时，需要进行身份认证。 表1 各云服务定义的敏感操作 类型 服务 敏感操作 计算 弹性云服务器（ECS） 关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP 裸金属服务器（BMS） 关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP 弹性伸缩（AS） 删除伸缩组 存储 对象存储服务（OBS） 删除桶 创建、编辑、删除桶策略 配置对象策略 创建、编辑、删除桶ACL 配置日志记录 配置防盗链 增加、编辑桶清单 云硬盘服务（EVS） 删除云硬盘 云备份（CBR） 删除存储库 删除备份 备份恢复 删除策略 解绑资源 接受备份 CDN与智能边缘 内容分发网络（CDN） 域名下线策略 容器 云容器引擎（CCE） 删除集群 应用编排服务（AOS） 删除堆栈 网络 云解析服务（DNS） 修改、暂停、删除记录集 修改、删除反向解析 删除自定义线路 虚拟私有云（VPC） 释放、解绑弹性公网IP 删除对等连接 安全组 删除入（出）方向规则 修改入（出）方向规则 批量删除入（出）方向规则 弹性负载均衡（ELB） 共享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 独享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 解绑IPv6地址 移出IPv6共享带宽 弹性公网IP（EIP） 删除共享带宽 释放、解绑弹性公网IP 批量释放、批量解绑弹性公网IP 网络 虚拟专用网络（VPN） 删除VPN连接 退订包周期VPN网关 安全与合规 SSL证书管理（SCM） 删除证书 吊销证书 管理与监管 统一身份认证服务（IAM） 关闭操作保护 关闭登录保护 修改手机号 修改邮件地址 修改登录密码 修改登录保护验证方式 删除IAM用户 停用IAM用户 删除委托 删除用户组 删除策略 删除授权 新增访问密钥 删除访问密钥 停用访问密钥 删除项目 修改访问密钥保护状态 管理与监管 云审计服务（CTS） 停用system追踪器 管理与监管 云日志服务（LTS） 删除日志流/组 卸载ICAgent 应用服务 分布式缓存服务（DCS） 重置密码 删除实例 清空数据 专属云 专属分布式存储服务（DSS） 删除磁盘 数据库 云数据库 RDS for MySQL 重置管理员密码 删除数据库实例 删除数据库备份 通过备份文件恢复到已有实例 按指定时间点恢复到已有实例 切换主备节点 修改数据库端口 删除数据库账号 删除数据库 修改实例内网IP 解绑弹性公网IP 下载全量备份文件 数据库 云数据库 RDS for PostgreSQL 重置管理员密码 删除数据库实例 删除数据库备份 切换主备节点 修改数据库端口 修改实例内网IP 解绑弹性公网IP 下载全量备份文件 数据库 云数据库 GaussDB(for MySQL) 删除实例 重启实例 重启节点 删除只读节点 解绑弹性公网IP 删除数据库 重置数据库账号密码 删除数据库账号 重置管理员密码 修改内网域名 修改读写内网地址 将数据库实例恢复到指定时间点 数据库 文档数据库服务（DDS） 重置密码 重启、删除实例 重启节点 副本集主备切换 删除安全组规则 申请Shard或Config节点IP 备份恢复到当前实例 备份恢复到已有实例 包周期实例转按需计费 EI 企业智能 数据仓库服务 GaussDB(DWS) 扩容、调整大小 重启 节点修复 重置密码 MapReduce服务（MRS） 集群 删除集群 按需转包周期集群 停止所有组件 同步配置 节点 停止所有角色 隔离主机 取消隔离主机 组件： 停止服务 重启服务 滚动重启服务 停止实例 重启实例 滚动重启实例 入服 退服 保存服务配置 补丁： 安装补丁 卸载补丁 回滚补丁 云通信 消息&短信 （Message&SMS） 签名删除 模板删除 获取app_secret 指定手机号、邮件地址绑定华为账号 指定IP白名单 续订套餐包 软件开发生产线 需求管理 CodeArts Req 删除项目 删除项目成员 修改成员信息 修改、删除权限 修改项目基本信息 删除工作项 用户服务 费用中心 订单支付 订单退订 资源释放

联邦用户登录验证 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。 在IAM控制台的“身份提供商”页面，单击“操作”列的“修改”，进入“修改身份提供商”页面。 在修改身份提供商页面，单击登录链接右侧的“复制”，并在浏览器中打开。 图6 复制登录链接 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认身份提供商配置信息以及企业IdP服务器配置是否正确。 输入企业管理系统的用户名和密码验证是否可以登录到华为云。 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业管理系统。 登录失败：请检查您的用户名和密码。 此时联邦用户只能访问华为云，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：步骤2：配置身份转换规则。

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

在华为云上配置授权信息 单击身份提供商列表中“操作”列的“修改”，进入“修改身份提供商”页面。 图3 修改身份提供商 在修改身份提供商页面，选择“访问方式”。 图4 访问方式 表1 访问方式 访问方式 说明 编程访问和管理控制台访问 编程访问：可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 管理控制台访问：用户可以使用账号密码登录到管理控制台来访问华为云。 如果您需要使用SSO方式访问华为云，应该选择此方式。 编程访问 用户仅可以使用支持访问密钥认证的API、CLI、SDK等开发工具来访问华为云。 在修改身份提供商页面，填写“配置信息”。 图5 配置信息 表2 配置信息 配置信息 说明 身份提供商URL OpenID Connect身份提供商标识。 对应企业IdP提供的Openid-configuration中"issuer"字段的值。 说明： Openid-configuration是在OpenID Connect中定义的URL，它提供了有关身份提供程序（IdP）的配置信息。URL如下：https://{base URL}/.well-known/openid-configuration，其中base URL由企业IdP定义，如Google提供的Openid-configuration为https://accounts.google.com/.well-known/openid-configuration. 客户端ID 在OpenID Connect身份提供商注册的客户端ID。即在企业IdP中创建的OAuth 2.0凭据。 授权请求Endpoint OpenID Connect身份提供商授权地址。对应企业IdP提供的Openid-configuration中"authorization_endpoint"字段的值。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 授权请求Scope 授权请求信息范围。默认必选openid。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 枚举值： openid email profile 授权请求Response type 授权请求返回参数类型，默认必选id_token。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 授权请求Response mode 授权请求返回模式，form_post和fragment两种可选模式，推荐选择form_post模式。 form_post：选择form_post模式时，请在身份提供商侧将redirect urI配置为：https://auth.huaweicloud.com/authui/oidc/post。 fragment：选择fragment模式时，请在身份提供商侧将redirect url配置为：https://auth.huaweicloud.com/authui/oidc/redirect。 仅访问方式为“编程访问和管理控制台访问”时需要填写。 签名公钥 验证OpenID Connect身份提供商ID Token签名的公钥。为了您的账号安全，建议您定期轮换签名公钥。 单击“确定”，完成配置。

在华为云上创建身份提供商 在IAM控制台上创建身份提供商，通过配置授权信息，可以在IAM中建立对IdP的信任关系，使得企业用户可以直接访问华为云。 进入IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。 图1 创建身份提供商 在弹出的“创建身份提供商”窗口中填写“名称”，选择“协议”为“OpenID Connect”，选择“状态”为“启用”，单击“确定”，创建身份提供商成功。 图2 填写身份提供商参数 身份提供商名称不能重复，建议以域名唯一标识命名。

前提条件 企业管理员在华为云注册了可用的账号，并已在IAM中创建用户组并授权，具体方法请参见：创建用户组并授权。在华为云IAM上创建的用户组是用于与企业IdP上的用户建立映射关系，使得IdP中的用户获取华为云IAM中用户组的权限。 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，获取企业IdP的OAuth 2.0凭据等具体操作请参考企业IdP的帮助文档。

操作步骤 在DomainA中创建IAM用户（用户名以UserB为例），并加入GroupC用户组中，具体方法请参见：用户组添加用户。 请确认该IAM用户支持编程访问华为云服务。如需修改IAM用户访问方式，请参考：查看或修改IAM用户信息。 将UserB的访问密钥或用户名和密码（推荐使用访问密钥）配置到企业IdP的配置文件中，以便获取用户认证token和调用API。为了保障您的账号安全，密码和访问密钥建议加密存储。 在IAM控制台左侧导航栏选择“委托”，单击右上方的“ 创建委托”。 在创建委托页面，设置委托参数。 “委托名称”以“testagency”为例，“委托类型”必须选择“普通账号”，“委托的账号”填写“DomainA”，“持续时间”根据具体情况选择，并单击“下一步”。 图1 创建委托 选择权限的作用范围，勾选需要授予委托的权限，给委托授权。 在企业IdP创建用户组“testagency”（与4中的委托名称相同），将企业本地用户按需加入本地用户组，授予其自定义代理登录华为云时所需权限，具体方法请参见企业IdP帮助文档。 企业本地用户登录企业管理系统后，访问企业IdP的自定义代理，从委托列表（由安全管理员来查询租户的委托列表，根用户默认为安全管理员）中选择所需要使用的委托，具体方法请参见企业管理系统帮助文档。 自定义代理的委托列表是企业IdP创建的用户组名称与华为云创建的委托名称的交集。 企业IdP自定义代理根据委托，携带IAM用户userB的token调用API（POST /v3.0/OS-CREDENTIAL/securitytokens），获取具有临时身份的securityToken，调用方法请参见：通过委托获取临时AK/SK和securitytoken。 通过委托获取securitytoken时，请求体中必须填写session_user.name参数。 企业IdP自定义代理携带获取到的临时AK/SK和securitytoken通过全局域名（iam.myhuaweicloud.com）调用API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取登录票据loginToken。登录票据位于Response Header中的X-Subject-LoginToken。获取方式请参见：获取自定义代理登录票据。 调用API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取登录票据loginToken时，需要使用全局域名：iam.myhuaweicloud.com。 logintoken是系统颁发给自定义代理用户的登录票据，承载用户的身份、session等信息，默认有效期为10分钟。调用FederationProxyUrl登录云服务控制台时，需要使用logintoken进行认证。 调用API（POST /v3.0/OS-AUTH/securitytoken/logintokens）时可以设置logintoken的有效时间，有效时间设置范围为10分钟~12小时。如果传入的值大于临时安全凭证securitytoken剩余的过期时间，则使用临时安全凭证securitytoken剩余的过期时间。 企业IdP自定义代理根据规范创建云服务登录地址FederationProxyUrl，作为Location返回给浏览器。FederationProxyUrl如下： https://auth.huaweicloud.com/authui/federation/login?idp_login_url={enterprise_system_loginURL}&service={console_service_region_url}&logintoken={logintoken} 示例： https://auth.huaweicloud.com/authui/federation/login?idp_login_url=https%3A%2F%2Fexample.com&service=https%3a%2f%2fconsole.huaweicloud.com%2fapm%2f%3fregion%3dcn-north-4%23%2fapm%2fatps%2ftopology&logintoken=****** 表1 参数说明 参数 说明 idp_login_url 企业管理系统登录地址。 service 需要访问的华为云服务地址。 logintoken 自定义代理登录票据。 为了浏览器正常识别参数内容，需要将以上三个参数都进行UrlEncode编码。 您可以参考以下Demo示例创建云服务登录地址FederationProxyUrl：使用委托方式创建云服务登录地址 该FederationProxyUrl包含从IAM获得的登录票据，票据用于对访问的用户进行身份验证。FederationProxyUrl需要经过UrlEncode编码。 华为云认证登录票据loginToken成功后，浏览器自动重定向到需要访问的华为云服务地址，即云服务代理登录地址中service设定的地址，企业用户成功访问华为云的控制台。 loginToken认证失败，则重定向到idp_login_url设定的地址。

IAM项目视图 在IAM项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看所有云服务的系统权限，请参见：系统权限。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组/委托的IAM项目授权记录，选择过滤条件为“用户名”、“用户组名”或“委托名”，输入指定对应名称，查看其授权记录。 基于IAM项目授权，最小授权单位为用户组。查看IAM项目视图下指定IAM用户授权记录时，将显示该IAM用户所属用户组的授权记录。 项目区域：IAM项目或区域名称，即权限的作用范围。查看IAM项目授权情况，请选择： 全局服务：查看所有全局服务授权记录。 所有项目：查看基于所有项目授权的授权记录。基于“所有项目”授权，权限对所有项目都生效，包括全局服务和所有项目（包括未来创建的项目）。 指定项目（如“cn-north-4”）：查看基于默认区域、子项目授权的授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。IAM项目视图下，可以选择主体类型为“用户组”、“委托”，如果选择“用户”，筛选结果为空。 企业项目：企业项目的名称。如果您在IAM用户视图下，选择“企业项目”为过滤条件，并输入企业项目名称，将自动切换至企业项目视图。

企业项目视图 在企业项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看企业项目支持的云服务权限，请参见：云服务权限说明。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录，选择过滤条件为“用户名”、“用户组名”，输入指定对应名称，查看其授权记录。 基于企业项目授权，最小授权单位为用户，查看企业项目视图下指定IAM用户授权记录时，显示该IAM用户及其所属用户组的授权记录。 企业项目：企业项目的名称，即权限的作用范围。查看指定企业项目的授权记录，选择区域过滤条件为“企业项目”，输入企业项目名称，查看基于该企业项目的所有授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。 项目区域：IAM项目或区域。如果您在企业项目视图下，选择“项目区域”为过滤条件，并选择指定项目，将自动切换至IAM项目视图。

策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。了解策略参数后，您可以根据场景自定义策略，如自定义策略使用样例。 表1 策略参数说明 参数 含义 值 Version 策略的版本。 1.1：代表基于策略的访问控制。 Statement： 策略的授权语句 Effect：作用 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Action：授权项 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*，通配符号*表示所有。 示例： "obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 您可以在对应服务“API参考”资料中查看该服务所有授权项，如OBS授权项。 Condition：条件 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 Resource: 资源类型 策略所作用的资源。 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。支持资源粒度授权的云服务和资源类型参见：支持IAM资源粒度授权的云服务。 示例： "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。 条件键 条件键表示策略语句的 Condition 元素中的键值。根据适用范围，分为全局条件键和服务条件键。 全局级条件键（前缀为g:）适用于所有操作，IAM提供两种全局条件键：通用全局条件键和其他全局条件键。 通用全局条件键：在鉴权过程中，云服务不需要提供用户身份信息，IAM将自动获取并鉴权。详情请参见：通用全局条件键。 其他全局条件键：在鉴权过程中，IAM通过云服务获取条件信息并鉴权。仅部分已对接的云服务支持其他全局条件键。 服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南，如OBS请求条件。 表2 通用全局条件键 全局条件键 类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以 ISO 8601 格式表示，例如：2012-11-11T23:59:59Z。示例参见1。 g:DomainName 字符串 请求者的账号名称。示例参见2。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。示例参见3。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。示例参见4。 g:ProjectName 字符串 项目名称。示例参见5。 g:UserId 字符串 IAM用户ID。示例参见7。 g:UserName 字符串 IAM用户名。示例参见8。 表3 其他全局条件键 全局条件键 类型 说明 g:SourceIp IP Address 请求用户的IP地址 g:SourceVpc String 请求用户的VPC ID g:SourceVpce String 请求用户的VPC Endpoint ID g:TagKeys String 资源标签键 g:ResourceTag/{TagKey} String 资源标签键值 g:CurrentTime 示例：表示用户在北京时间2023年3月1日8点到北京时间2023年3月30日8点可以创建IAM自定义角色。注意：策略中g:CurrentTime条件键值的时间格式为UTC时间。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "DateGreaterThan": { "g:CurrentTime": ["2023-03-01T00:00:00Z"] }, "DateLessThan": { "g:CurrentTime": ["2023-03-30T00:00:00Z"] } } }] } g: DomainName 示例：表示仅有用户zhangsan可以创建自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g:DomainName": ["zhangsan"] } } }] } g:MFAPresent 示例：表示请求者获取身份凭证时采用了MFA认证后才可以创建IAM自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "Bool": { "g:MFAPresent": ["true"] } } }] } g:MFAAge 示例：表示请求者获取身份凭证时采用了MFA认证的时间必须大于900s才可以创建IAM自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { " NumberGreaterThanEquals ": { "g:MFAAge": ["900"] } } }] } g:ProjectName 示例：表示请求者获取的凭证范围必须是在北京四时才可以创建IAM自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { " StringEquals ": { "g: ProjectName ": ["cn-north-4"] } } }] } g: UserId 示例：表示用户ID为xxxxxxxxxxx…的用户才可以创建IAM自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g: UserId ": ["xxxxxxxxxxx…"] } } }] } g: UserName 示例：表示用户lisi才可以创建IAM自定义角色。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g: UserName ": ["lisi"] } } }] } 多值条件键 ForAllValues：测试请求集的每个成员的值是否为条件键集的子集。如果请求中的每个键值均与策略中的至少一个值匹配，则条件返回true。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ims:images:share" ], "Condition": { "ForAllValues:StringEquals": { "ims:TargetOrgPaths": [ "orgPath1", "orgPath2", "orgPath3" ] } } } ] } 此策略描述的是对于请求者发起共享的组织中所有组织路径必须是orgPath1、orgPath2或者orgPath3，那么允许共享。 假如请求者想共享镜像给组织路径orgPath1、orgPath3下的成员，策略匹配成功。 假如请求者想共享镜像给组织路径orgPath1、orgPath2、orgPath3、orgPath4下的成员，策略匹配失败。 ForAnyValue：测试请求值集的至少一个成员是否与条件键值集的至少一个成员匹配。如果请求中的任何一个键值与策略中的任何一个条件值匹配，则条件返回true。对于没有匹配的键或空数据集，条件返回false。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ims:images:share" ], "Condition": { "ForAnyValue:StringEquals": { "ims:TargetOrgPaths": [ "orgPath1", "orgPath2", "orgPath3" ] } } } ] } 此策略描述的是对于请求者发起共享的组织中任一一个组织路径是orgPath1、orgPath2或者orgPath3，那么允许共享。 假如请求者想共享镜像给组织路径orgPath1、orgPath4下的成员，策略匹配成功。 假如请求者想共享镜像给组织路径orgPath4、orgPath5下的成员，策略匹配失败。 条件键运算逻辑 图2 条件键运算逻辑示意图 对于同一条件键的多个条件值，采用OR运算逻辑，即请求值按照条件运算符匹配到任意一个条件值则返回true。 当运算符表示否定含义的时候（例如：StringNotEquals），则请求值按照条件运算符不能匹配到所有的条件值。 同一运算符下的不同条件键之间，采用AND运算逻辑。不同运算符之间，采用AND运算逻辑。

在华为云上创建身份提供商 在IAM控制台上创建身份提供商，配置身份提供商的元数据文件后，可以在IAM中建立对企业IdP的信任关系，使得企业用户可以直接访问华为云。 进入IAM控制台，在左侧导航窗格中，选择“身份提供商”页签，单击右上方的“创建身份提供商”。 图1 创建身份提供商 在“创建身份提供商”窗口中设置名称、协议、类型、状态、描述。 图2 填写身份提供商参数 表1 身份提供商基本参数 参数 含义 名称 身份提供商的名称。身份提供商名称在全局范围内不能重复，建议以域名唯一标识命名。 协议 身份提供商协议。当前华为云支持基于SAML、OIDC的身份提供商，如需创建基于OIDC协议的联邦身份认证，请参考基于OIDC协议的虚拟用户SSO。 类型 身份提供商类型。一个账号下只能存在一种类型的身份提供商。本章介绍IAM用户SSO，此处选择IAM用户SSO。 IAM用户SSO：该身份提供商中的用户登录华为云后，系统将自动匹配外部身份ID绑定的对应IAM子用户，从而拥有该子用户所在用户组的权限。一个账号下只能创建一个IAM用户SSO类型的身份提供商。如果选择该类型，请确保您已为用户创建对应的IAM用户并设置外部身份ID，请参考创建IAM用户。 状态 身份提供商的状态。默认设置为“启用”。 单击“确定”，创建身份提供商成功。

建立企业IdP对华为云的信任关系 在企业IdP中配置华为云的元数据文件，以建立企业IdP对华为云的信任。常用企业IdP，如Microsoft Active Directory（AD FS）和Shibboleth的配置步骤，请参见：与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件（metadata文件）。 访问网址：https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件，并设置文件名称，例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。

其他账号登录 如果您已有“华为官网账号”、“华为企业合作伙伴账号”，可以通过此方式登录华为云，无需记录多套身份信息。 下面以“华为官网账号”为例，为您介绍使用其他账号登录华为云的操作步骤。 单击“华为官网账号”，如下图所示。 图4 华为官网账号 根据界面指引登录华为官网账号。 首次登录时：页面自动跳转至创建或关联华为云账号页面，输入账号名和手机号、验证码。单击“创建并绑定”，登录华为云控制台。 后续登录时：直接跳转至华为云控制台。 首次登录成功后，后续可以使用步骤2中设置的账号名或手机号，通过华为云账号登录华为云控制台。

企业联邦用户登录 企业联邦用户是在企业管理系统中创建的用户，账号在IAM控制台创建身份提供商后，企业联邦用户可以登录华为云并根据对应权限使用云服务。详情请参考：身份提供商概述。 如果您已知创建该身份提供商的华为云账号名称、身份提供商名称、企业管理系统的账号和密码，可以通过此方式登录华为云。 在华为云的登录页面，单击登录下方的“企业联邦用户”，在“企业联邦身份登录”页面，输入账号名，选择身份提供商名称。 图8 企业联邦身份登录 原华为云账号名/租户名：创建身份提供商的华为云账号名称。如果不知道账号名，请向管理员获取。 身份提供商名称：管理员创建身份提供商时，设置的名称。如果不知道身份提供商名称，请向管理员获取。 单击“前往登录”，跳转至企业管理系统登录页面。 在企业管理系统登录页面，输入企业管理系统用户名、密码。 单击“登录”，登录华为云。

华为云账号登录 如果您已注册华为云账号，可以通过该账号直接登录华为云。该账号是您的华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。所有IAM用户产生的费用账单由账号统一接收并付费。账号在登录华为云控制台时，可使用“账号名/邮件地址”或“手机号登录”方式。 已升级华为账号的华为云账号暂不支持登录，请使用华为账号登录。 通过华为云账号登录方法如下： 单击“华为云账号”，如图所示。 图5 华为云账号 输入您的账号信息，单击“登录”。 账号名/邮件地址：华为云账号名/与账号绑定的邮件地址。 账号名不区分大小写。 密码：账号密码，如果您忘记了账号的登录密码，可以单击“忘记密码”进行重置，重置方法请参见：忘记账号密码。 手机号登录：如果您忘记了华为云账号，可以单击“手机号登录”，可以通过已绑定的手机号、账号密码登录华为云。

IAM用户登录 IAM用户是由华为云账号或管理员在IAM中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据账号授予的权限使用资源。IAM用户不进行独立的计费，由所属账号统一付费。 账号与IAM用户可以类比为父子关系，如下图所示。 图6 账号与IAM用户 IAM用户登录方法如下： 在华为云的登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入账号名，IAM用户名/邮件地址和密码。 图7 IAM用户登录 租户名/原华为云账号：IAM用户所属的账号，即华为云账号。如果不知道账号名，请向管理员获取。 IAM用户名/邮件地址：在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道用户名及初始密码，请向管理员获取。 IAM用户密码：IAM用户的密码，非账号密码。 单击“登录”，登录华为云。

扫码登录 华为云APP是华为云的手机客户端，通过华为云APP，您可以在手机上远程管理您的华为云服务资源。如果您在华为云APP上登录了账号或IAM用户，通过APP扫描页面二维码即可登录华为云，无需重复输入账号信息。 如需下载华为云APP，请单击：下载华为云APP。 通过华为云APP扫码登录方法如下： 在华为云的登录页面，单击右上角的二维码，进入“扫码登录”页面。 图3 扫码登录 使用华为云APP扫描页面二维码，登录华为云。

跳转到指定区域或服务 如需指定联邦用户登录的目标页面，比如联邦用户登录时，指定跳转到北京四局点，云监控服务CES主页。有以下两种配置方式： SP侧登录配置方法 拼接控制台获取的登录链接与指定url，拼接格式为“登录链接&service=指定url”。例如：获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml，指定跳转的控制台地址为https://console.huaweicloud.com/ces/?region=cn-north-4，按照拼接格式拼接得到的登录链接为：https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml&service=https://console.huaweicloud.com/ces/?region=cn-north-4。 IdP侧登录配置方法 在企业IdP的SAML 断言中配置IAM_SAML_Attributes_redirect_url声明，声明值为指定跳转的目标URL。

登录验证 按照登录请求发起方可将联邦用户登录方式分为两类： Idp侧登录：用户从IdP侧（企业自己的身份提供商侧）发起登录请求，例如从Microsoft Active Directory（AD FS）、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录：用户从SP侧（服务提供商侧）发起登录请求，在企业与华为云联邦身份认证的过程中，服务提供商指华为云，SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方式差异较大，华为云帮助文档不做详述，具体操作请参考企业IdP的帮助文档。本节重点介绍SP侧发起登录的方法： 联邦用户登录。 在控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 图1 登录链接 查看联邦用户是否具有所属用户组的权限。

操作步骤 登录IAM控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 图2 委托名称 “委托类型”选择“普通账号”，在“委托的账号”中输入需要建立委托关系的其他账号的账号名。 普通账号：将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源。委托的账号只能是账号，不能是联邦用户、IAM用户。 云服务：授权指定云服务使用其他云服务。详情请参见：委托其他云服务管理资源。 选择“持续时间”，填写“描述”信息。 单击“下一步”，进入给委托授权页面。 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围。 给委托授权即给其他账号授权，给用户组授权即给账号中的IAM用户授权，两者操作方法相同，仅可选择的权限个数不同，授权操作请参见：给用户组授权。 当前委托支持添加Security Administrator权限，但为了保障您的账号安全，建议您按照业务场景为委托授予最小权限。 单击“确定”，委托创建完成。 委托方操作完成，将自己的账号名称、创建的委托名称、委托ID以及委托的资源权限告知被委托方后，被委托方可以通过切换角色至委托方号中管理委托资源。

管理IAM用户访问密钥 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、CLI、SDK）访问华为云时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 如果IAM用户不能登录控制台，在需要使用访问密钥或者访问密钥遗失的情况下，可以由管理员在IAM中管理IAM用户的访问密钥。 管理员在IAM用户列表中，单击右侧的“安全设置”，新增或者删除用户的访问密钥。 图1 管理IAM用户访问密钥 企业联邦用户不能创建访问密钥，但可以创建临时访问凭证（临时AK/SK和SecuritityToken），具体内容请参见：临时访问密钥。 IAM提供的“安全设置”功能，适用于管理员管理IAM用户的访问密钥。在我的凭证中也可以管理访问密钥，我的凭证适用于所有用户在可以登录控制台的情况下，自行管理访问密钥。 账号和IAM用户的访问密钥是单独的身份凭证，即账号和IAM用户仅能使用自己的访问密钥进行API调用。 访问密钥的“最近使用时间”记录IAM用户15分钟内的第一次使用时间，如果15分钟内多次使用访问密钥，仅记录第一次使用时间。 新增访问密钥并下载 单击“新增访问密钥”。 图2 新增访问密钥 每个用户最多可以拥有2个访问密钥，有效期为永久。为了账号安全性，建议管理员定期给用户更换访问密钥。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”，生成并下载访问密钥后，将访问密钥提供给用户。 删除访问密钥 单击“删除”。 图3 删除访问密钥 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”。 启用、停用访问密钥 新创建的访问密钥默认为启用状态，如需停用该访问密钥，步骤如下： 在“访问密钥”页签中，在需要停用的访问密钥右侧单击“停用”。 图4 停用访问密钥 若开启操作保护，则需输入验证码或密码。然后单击“是”，停用访问密钥。 启用访问密钥方式与停用类似，请参考以上步骤。 父主题： IAM用户

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

跳转到指定区域或服务 如需指定联邦用户登录的目标页面，比如联邦用户登录时，指定跳转到北京四局点，云监控服务CES主页。有以下两种配置方式： SP侧登录配置方法 拼接控制台获取的登录链接与指定url，拼接格式为“登录链接&service=指定url”。例如：获取的登录地址为https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml，指定跳转的控制台地址为https://console.huaweicloud.com/ces/?region=cn-north-4，按照拼接格式拼接得到的登录链接为：https://auth.huaweicloud.com/authui/federation/websso?domain_id=XXX&idp=XXX&protocol=saml&service=https://console.huaweicloud.com/ces/?region=cn-north-4。 IdP侧登录配置方法 在企业IdP的SAML 断言中配置IAM_SAML_Attributes_redirect_url声明，声明值为指定跳转的目标URL。

登录验证 按照登录请求发起方可将联邦用户登录方式分为两类： Idp侧登录：用户从IdP侧（企业自己的身份提供商侧）发起登录请求，例如从Microsoft Active Directory（AD FS）、Shibboleth侧发起登录华为云控制台的请求。 SP侧登录：用户从SP侧（服务提供商侧）发起登录请求，在企业与华为云联邦身份认证的过程中，服务提供商指华为云，SP侧登录链接可在IAM控制台身份提供商详情页面获取。 不同的企业IdP发起Idp侧登录的方式差异较大，华为云帮助文档不做详述，具体操作请参考企业IdP的帮助文档。本节重点介绍SP侧发起登录的方法： 联邦用户登录。 在控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 图1 登录链接 查看联邦用户是否跳转至实体IAM用户。

给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见：移除用户组权限。 在用户组列表中，单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 在用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后，IAM用户可以根据权限使用账号中所有资源，包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 说明： 不支持选择专属云DEC的区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。 表2为常用权限，完整的权限列表请参见：系统权限。 当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。 更多有关权限的使用建议请参见：多运维人员权限设置案例、依赖角色的授权方法、自定义策略使用样例。 表2 常用权限 权限 需要授予的策略 权限说明 授权范围 总负责人 FullAccess 支持基于策略授权服务的所有权限 所有资源 管理资源 Tenant Administrator 除IAM外，其他所有服务的管理员权限 所有资源 查看资源 Tenant Guest 所有资源的只读权限 所有资源 管理IAM用户 Security Administrator IAM的管理员权限 全局服务资源 管理费用 BSS Administrator 费用中心的管理员权限，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明： 授权时，需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 ECS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限 指定区域项目资源 IMS FullAccess 镜像服务的管理员权限 指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限 指定区域项目资源 网络域运维 VPC FullAccess 虚拟私有云的管理员权限 指定区域项目资源 ELB FullAccess 弹性负载均衡的管理员权限 指定区域项目资源 数据库运维 RDS FullAccess 云数据库的管理员权限 指定区域项目资源 DDS FullAccess 文档数据库服务的管理员权限 指定区域项目资源 DDM FullAccess 分布式数据库中间件的管理员权限 指定区域项目资源 安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的管理员权限 指定区域项目资源 AAD Administrator DDoS高防服务的管理员权限 指定区域项目资源 WAF Administrator Web应用防火墙的管理员权限 指定区域项目资源 VSS Administrator 漏洞扫描服务的管理员权限 指定区域项目资源 CGS Administrator 容器安全服务的管理员权限 指定区域项目资源 KMS Administrator 数据加密服务的管理员权限 指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限 指定区域项目资源 SES Administrator 安全专家服务的管理员权限 指定区域项目资源 SC Administrator SSL证书管理服务的管理员权限 指定区域项目资源

基本流程 通过委托信任功能，您可以将自己账号中的资源操作权限委托给更专业、高效的其他账号，被委托的账号可以根据权限代替您进行资源运维工作。 只能对账号进行委托，不能对IAM用户进行委托。 如下以A账号委托B账号管理资源为例，讲述委托的原理及方法。A账号为委托方，B账号为被委托方。 账号A创建委托。 图1 账号A创建委托 （可选）账号B分配委托权限。 创建用户组并授予用户组管理委托的权限。 创建用户并将用户加入到用户组中。 图2 账号B分配委托权限 账号B或者IAM用户管理委托资源。 被委托方登录自己的账号，切换角色到账号A。 切换到被授权的区域A，管理账号A的资源。 图3 账号B切换角色 父主题： 委托其他账号管理资源

登录密码、关联手机号、绑定邮件地址 修改登录密码、关联手机号、绑定邮件地址类似，以修改密码为例。 进入安全设置。 在“安全设置”页面中，选择“基本信息”页签，单击“登录密码”右侧的“立即修改”，进入“修改密码”页面。 图1 修改密码 （可选）选择身份验证方式，获取并输入验证码。 如果邮件地址和手机都未绑定，则无需验证。 输入原密码、新密码并确认密码。 密码不能是用户名或者用户名的倒序，例如：用户名为A12345，则密码不能为A12345、a12345、54321A和54321a。 密码的强弱程度，例如密码的最小长度等，可以由管理员在密码策略中进行设置。 单击“确定”，完成密码修改。

操作步骤 您可以使用“创建规则”，IAM会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云中显示的用户名，以下简称“联邦用户名”。 为了区分华为云的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 “属性”、“值”为企业IdP通过SAML断言返回给华为云用户信息；“条件”可选择：empty、any_one_of、not_any_of，详细说明请参见：身份转换规则详细说明。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云，进入IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 图4 编辑身份转换规则 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

安全设置 管理员可以该页面修改IAM用户的多因素认证设备、登录凭证、登录保护和访问密钥。IAM用户如需修改自己的手机号、邮件地址、虚拟MFA设备，请参考安全设置概述。 图5 IAM用户安全设置 多因素认证设备，只能修改IAM用户的多因素认证设备，不能修改账号的多因素认证设备。 修改用户的手机、邮件地址。支持清空IAM用户的手机号和邮件地址。 修改IAM用户绑定手机号和邮件地址不可与账号、其他IAM用户重复。 虚拟MFA设备：给用户重置虚拟MFA设备。更多有关多因素认证以及MFA的介绍，详情请参见：多因素认证与虚拟MFA。 登录凭证：修改IAM用户的登录密码，详情请参见：修改IAM用户密码。支持清空IAM用户的登录密码，该操作将导致其无法使用原有密码访问华为云，请谨慎操作。 登录保护：修改IAM用户的登录验证方式，支持虚拟MFA、手机和邮箱。 登录保护表示用户登录控制台时，除了在登录页面输入用户名和密码（第一次身份认证），还需要在“登录验证”页面输入验证码（第二次身份验证），该功能默认关闭。 访问密钥：管理IAM用户的访问密钥，详情请参见：管理IAM用户访问密钥。

批量修改IAM用户信息 IAM支持批量修改IAM用户状态、访问方式、验证方式、登录密码、手机和邮件地址，修改方式类似，以修改IAM用户状态为例，说明批量修改IAM用户信息的方法。 进入IAM控制台，在左侧导航栏选择“用户”页签。 在用户列表中，勾选需要修改的用户。勾选完成后，单击用户列表上方的“编辑”。 图7 编辑用户信息 选择需要修改的IAM用户属性，以修改IAM用户状态为例，选择“状态”。 图8 选择状态 选择要给IAM用户配置的目标状态，若要停用IAM用户则选择“停用”，启用IAM用户则选择“启用”。 图9 修改状态 请排查用户是否有其他服务或场景在使用，停用正在使用的用户可能会对业务产生影响。 单击“确定”，确定IAM用户配置。 单击“确认”，完成所选IAM用户状态的修改。