用户指南

Size: px

Start display at page:

Download "用户指南"

争颜
5 years ago
Views:

1 统一身份认证服务用户指南文档版本 13 发布日期华为技术有限公司

2 版权所有华为技术有限公司 2018 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 : 网址 : 客户服务邮箱 : support@huawei.com 客户服务电话 : i

3 目录目录 1 产品简介功能介绍身份管理权限管理快速入门账号登录管理控制台创建安全管理员创建用户组并授权创建用户并加入用户组 IAM 用户登录管理控制台审计云审计服务支持的 IAM 操作列表查看审计日志管理用户及其权限如何管理项目如何创建用户组并授权如何创建用户如何切换项目或区域如何查看或修改用户信息如何查看或修改用户组如何修改用户权限策略管理创建自定义策略策略语言如何设置账号安全策略委托其他账号管理资源如何创建委托如何切换角色配置联邦身份认证为什么要配置联邦身份认证如何配置联邦身份认证 ii

4 目录如何建立公有云系统与企业管理系统的信任关系如何创建身份提供商如何配置页面单点登录如何通过规则控制联邦用户访问公有云资源联邦用户身份转换规则单点登录流程管理安全凭证如何查看安全凭证如何修改安全凭证如何管理访问密钥如何查看项目 ID 修订记录常见问题如何开启登录验证功能如何绑定虚拟 MFA 设备如何获取 MFA 验证码如何解绑 MFA 如何控制 IAM 用户访问控制台搜狗浏览器无法下载访问密钥怎么办 Internet Explorer 浏览器下输入框提示信息无法自动消失怎么办 Internet Explorer 浏览器下无法获取短信验证码怎么办如何在 Google Chrome 浏览器禁用密码联想与保存...66 iii

5 1 产品简介 1 产品简介统一身份认证 (Identity and Access Management, 简称 IAM) 为公有云系统 ( 华为云 ) 提供身份管理和访问控制功能通过 IAM 您可以创建用户 ( 用户可以是员工系统或应用程序等 ), 并授予用户管理您账号下资源的权限, 帮助您高效的管理资源您还可以设置账号安全策略来确保这些用户账号的安全, 从而降低您的企业信息安全风险 IAM 无需付费即可使用, 您只需要为您账号中的资源进行付费 1.1 功能介绍 IAM 为您提供身份认证及权限管理等基本功能, 帮助您控制哪些用户可以访问您账号中的资源精细的权限管理使用 IAM 您可以针对不同的项目以及项目中的某个资源进行授权, 从而控制不同的用户访问不同的资源如 : 控制某些人员访问并使用对象存储服务, 而让另外一些人只能从对象存储服务中读取数据便捷的用户授权使用 IAM 完成用户授权仅需要两步 : a. 按照用户职责规划用户组, 并将对应职责的权限授予用户组 1

6 1 产品简介 b. 将用户加入用户组联邦身份认证管理您可以将公有云系统和其他系统建立信任关系, 并允许其他系统的用户访问您账号中的资源您可以通过设置规则来管控哪些用户能够访问哪些资源支持第三方系统的用户管理公有云系统的资源第三方系统与公有云系统成功对接后, 将第三方系统中的用户与 IAM 中的账号进行绑定 ( 如果没有账号, 需要创建后绑定 ) 绑定后的用户可以通过第三方系统登录后直接访问公有云系统并管理资源委托其他账号管理您账号中的资源为公有云其他服务提供认证和授权功能使用 IAM 认证后的用户可以根据权限使用公有云系统中的其他服务, 如 : 关系型数据库云审计服务对象存储服务等集中管理安全策略通过设置登录验证策略密码策略及访问控制列表来提高用户信息和系统数据的安全性使用伙伴云云联盟用户可以在归属云 ( 华为云 ) 的管理控制台跳转到伙伴云 Orange Cloud for Business 的管理控制台来使用伙伴云的资源及服务 1.2 身份管理账号您可以通过 IAM 管理您账号中的用户及其安全凭证, 也可以通过 IAM 的联邦身份认证让其他系统的用户直接访问公有云系统, 实现单点登录, 让用户管理更简单用户注册后自动创建, 该账号对其所拥有的资源具有完全的访问权限由于账号是费用承载的主体, 为了确保账号的安全性, 建议您为自己的账号创建安全管理员 ( 具有 Security Administrator 权限 ), 使用安全管理员管理账号中的用户及其权限 2

7 1 产品简介图 1-1 账号管理模型 IAM 用户由管理员在 IAM 中创建的用户, 是云服务的使用人员, 对应员工系统或应用程序, 具有身份凭证 ( 密码和访问密钥 ), 可以登录管理控制台或者访问 API 3

1 产品简介图 1-2 账号与 IAM 用户的关系联邦用户通过联邦身份认证方式访问公有云系统的用户称为联邦用户

Provider, 简称 IdP ) 是为用户提供身份认证的系统在 IAM 联邦身份认证中身份提供商指企业自身的身份认证系统 (

IdP 的用户通过联邦身份认证访问公有云系统时, 仅需要使用 IdP 提供的安全凭证 ( 无需 IAM 为其生成新的安全凭证 )

8 1 产品简介图 1-2 账号与 IAM 用户的关系联邦用户通过联邦身份认证方式访问公有云系统的用户称为联邦用户联邦身份认证是指用户通过身份提供商认证后, 不需要通过服务提供商再次认证即可访问服务提供商的资源身份提供商 (Identity Provider, 简称 IdP ) 是为用户提供身份认证的系统在 IAM 联邦身份认证中身份提供商指企业自身的身份认证系统 ( 如 : 企业管理系统 ) 服务提供商 (Service Provider, 简称 SP) 是指为用户提供服务的系统, 指公有云系统 IdP 的用户通过联邦身份认证访问公有云系统时, 仅需要使用 IdP 提供的安全凭证 ( 无需 IAM 为其生成新的安全凭证 ) 即可访问公有云系统, 即实现单点登录图 1-3 联邦用户访问公有云系统流程 1.3 权限管理您可以通过 IAM 控制不同用户访问不同的资源 4

1 产品简介为用户授权图 1-4 授权模型 1. 按照人员的职责规划用户组, 再基于项目将职责相关的权限集授予用户组 2.

为其他账号授权您 ( 账号 A) 的安全管理员通过在 IAM 上创建委托, 指定委托账号 ( 账号 B) 及对应的权限,

的用户即可通过切换角色 ( 切换到账号 A) 的方式访问您 ( 账号 A) 的资源为联邦用户授权通过在 IAM

9 1 产品简介为用户授权图 1-4 授权模型 1. 按照人员的职责规划用户组, 再基于项目将职责相关的权限集授予用户组 2. 将用户加入到用户组中, 使这些用户具有该用户组中的权限当人员变动时, 只需要修改用户所属的用户组使用用户组管理权限更加高效为其他账号授权您 ( 账号 A) 的安全管理员通过在 IAM 上创建委托, 指定委托账号 ( 账号 B) 及对应的权限, 即可与账号 B 共享指定资源账号 B 的安全管理员为用户分配 Agent Operator 权限后, 账号 B 的用户即可通过切换角色 ( 切换到账号 A) 的方式访问您 ( 账号 A) 的资源为联邦用户授权通过在 IAM 上创建身份提供商并为联邦用户创建相关的规则, 使得联邦用户转换为 IAM 中的身份, 实现通过 IAM 控制联邦用户访问公有云资源的权限图 1-5 联邦用户身份转换原理 5

10 2 快速入门 2 快速入门账号是付费主体, 具有所有资源的访问权限为了确保账号安全, 请妥善保管账号的密码和访问密钥建议您为自己创建安全管理员并使用安全管理员进行日常工作使用账号访问 IAM 并创建一个用户将其加入到 IAM 提供的缺省用户组 admin 中, 用于管理您的子用户 admin 用户组中的用户可以管理用户及账号中的所有资源如果您想让安全管理员仅管理用户而不管理资源, 则需要将安全管理员加入到仅具有 Security Administrator 权限的用户组 ( 需要创建 ) 中使用安全管理员访问 IAM 并创建其他子用户, 再为他们授权, 使他们能够按照您的许可访问您的资源首先需要为您的账号创建一个安全管理员示例我们以如下示例帮助您快速了解如何使用 IAM 账号中有 3 种职责的用户, 一个职责对应一个用户组 : 安全管理员组 ( 名称为 admin) 开发人员用户组和测试人员用户组每个用户组可以有多个用户, 同一个用户也可以属于多个用户组 6

2 快速入门图 2-1 用户管理模型 1. 使用您的账号创建一个安全管理员 (Bob), 并将 Bob 加入到缺省用户组 admin 中 2. 使用您的安全管理员 (Bob) 创建其他安全管理员 (Alice), 并将 Alice 加入到缺省用户组 admin 中 3. 由安全管理员 (Bob 或 Alice) 创建用户组开发人员组和测试人员组并分别为两个用户组授予对应的权限 4.

11 2 快速入门图 2-1 用户管理模型 1. 使用您的账号创建一个安全管理员 (Bob), 并将 Bob 加入到缺省用户组 admin 中 2. 使用您的安全管理员 (Bob) 创建其他安全管理员 (Alice), 并将 Alice 加入到缺省用户组 admin 中 3. 由安全管理员 (Bob 或 Alice) 创建用户组开发人员组和测试人员组并分别为两个用户组授予对应的权限 4. 由安全管理员 (Bob 或 Alice) 创建开发人员用户 (Job Joy), 并将 Job 和 Joy 加入到开发人员组用户组中 ; 创建测试人员用户 (Ray), 并将 Ray 和 Job 加入到测试人员组用户组中 2.1 账号登录管理控制台操作步骤用户注册后获得账号, 使用账号登录公有云系统, 您具有所有资源的访问权限, 并可以管理用户为了确保账号安全, 请妥善保管账号的密码和访问密钥步骤 1 在系统首页, 单击页面右上方登录步骤 2 输入账号 / 邮箱 / 电话号码和密码, 单击登录或单击使用手机号码登录, 选择国家码后, 输入电话号码和密码, 单击登录步骤 3 单击页面右上方控制台 7

12 2 快速入门进入华为云管理控制台 ---- 结束 2.2 创建安全管理员操作步骤为了确保安全性, 建议您为自己创建安全管理员来代替使用账号管理用户步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户步骤 3 在用户界面, 单击创建用户步骤 4 在创建用户界面, 输入用户名步骤 5 选择凭证类型为密码密码用于登录管理控制台, 也可以用于 API CLI SDK 等开发工具进行认证, 认证成功后可以访问资源安全管理员用于管理用户, 因此建议您选择凭证类型为密码访问密钥用于 API CLI SDK 等开发工具认证, 完成认证后可以访问资源步骤 6 在所属用户组的下拉复合框中, 选择 admin 用户组步骤 7 单击下一步步骤 8 选择密码生成方式为自定义安全管理员用于登录管理控制台管理用户如果您为自己创建安全管理员, 建议使用自定义方式设置密码如果您为他人创建安全管理员, 建议使用首次登录时设置的方式, 由用户自己设置密码步骤 9 输入邮箱手机密码和确认密码 8

13 2 快速入门建议您为管理员设置邮箱或手机号码, 作为安全管理员的凭证密码必须满足如下复杂度要求 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( 空格!"#$%&'()* +,-./:;<=>?@[]^`_ ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 步骤 10 是否重置密码 : 安全管理员需要创建一个新密码登录公有云系统该功能默认勾选, 为了管理员账号安全, 建议保持默认勾选状态, 保证该管理员账号的密码为管理员本人所设置, 防止密码泄露步骤 11 单击确定 ---- 结束 2.3 创建用户组并授权操作步骤您可以根据用户职责规划用户组使用安全管理员访问 IAM 并创建用户组, 再根据职责赋予用户组对应的权限步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户组步骤 3 在用户组界面中, 单击创建用户组步骤 4 输入用户组名称步骤 5 ( 可选 ) 输入描述步骤 6 单击确定返回用户组列表, 用户组列表中显示新创建的用户组步骤 7 单击新建用户组操作列的修改进入修改用户组界面步骤 8 在用户组权限区域中, 单击需要授权项目操作列的修改 9

14 2 快速入门授予的权限仅对当前项目生效如果需要为用户组授予多个项目的权限, 请分别单击所需要授权的项目对应的修改进行授权步骤 9 在策略对话框中选择策略具体权限请参见 : 权限步骤 10 单击确定 ---- 结束 2.4 创建用户并加入用户组您可以使用安全管理员创建用户并将用户加入到对应的用户组中, 使其继承用户组中的权限操作步骤步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户步骤 3 在用户界面, 单击创建用户步骤 4 在创建用户界面, 输入用户名步骤 5 选择凭证类型凭证类型密码访问密钥适用场景登录管理控制台使用支持密码认证的 API CLI SDK 等开发工具来访问云服务使用支持密钥认证的 API CLI SDK 等开发工具来访问云服务步骤 6 在所属用户组的下拉框中, 选择需要加入的用户组 10

15 2 快速入门您也可以通过输入关键字快速找到相关用户组一个用户可以同时加入多个用户组根据步骤 5 中选择的凭证类型, 进行后续操作凭证类型后续操作密码请执行步骤 7 访问密钥单击确认下载生成的密钥, 创建用户操作完成访问密钥是在 IAM 中认证的凭证, 如果不下载生成的密钥则无法获取对应的访问密钥如果该用户需要使用访问密钥在 IAM 中认证, 需要重新生成步骤 7 选择密码生成方式密码生成方式后续操作首次登录时设置自动生成系统会通过邮件发送一次性登录链接给用户用户使用该链接登录管理控制台时设置密码由系统随机生成 10 位密码适用于使用支持密码认证的 API CLI SDK 等开发工具来访问云服务 1. 输入邮箱用于接收登录链接 2. ( 可选 ) 输入手机 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机自定义自定义用户的登录密码 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机 3. 输入密码和确认密码密码必须满足如下策略 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 不能包含手机号或邮箱 11

16 2 快速入门步骤 8 是否重置密码 : 用户需要创建一个新密码登录公有云系统该功能默认勾选, 为了用户账号安全, 建议保持默认勾选状态, 保证该用户账号的密码为用户本人所设置, 防止密码泄露步骤 9 单击确定创建用户完成 ---- 结束 2.5 IAM 用户登录管理控制台 IAM 用户由账号或者管理员在 IAM 中创建,IAM 用户可以向管理员获取专属登录链接登录管理控制台背景信息如果第三方系统用户未在公有云系统中设置登录密码 : 通过公有云系统登录页面的找回密码功能设置登录密码适用于用户已绑定了邮箱或手机请联系并提供邮箱给账号的管理员 ( 具有 Security Administrator 权限的用户 ), 管理员通过统一身份认证的用户管理功能重置用户密码是否重置密码功能保持默认勾选时, 用户需要创建一个新密码登录公有云系统当开启以下任一功能时, 用户登录成功后, 进入登录验证页面, 单击确定进入管理控制台账号策略中开启最近登录提示功能账号策略中设置了登录成功时的验证信息我的凭证中开启登录验证功能操作步骤步骤 1 请向管理员获取 IAM 用户专属登录链接并打开步骤 2 在 IAM 用户登录界面, 输入用户名 / 邮箱 / 手机号码和密码, 单击登录通过该方式登录, 系统可以自动匹配账号名, 不需用户手动输入账号名步骤 3 或者在华为云系统首页步骤 4 单击页面右上方登录步骤 5 单击页面右下角 IAM 用户登录步骤 6 输入账号名用户名 / 邮箱 / 手机号码和密码, 并单击登录如果用户开启了登录验证功能, 在登录验证页面还需输入虚拟 MFA/ 短信 / 邮箱验证码进行验证步骤 7 在登录验证页面, 单击确定 12

17 2 快速入门步骤 8 单击页面右上方控制台进入管理控制台 ---- 结束 13

18 3.1 审计云审计服务支持的 IAM 操作列表云审计服务记录统一身份认证服务相关的操作事件, 如表 3-1 所示表 3-1 云审计服务支持的 IAM 操作列表操作名称资源类型事件名称用户登录 user login 用户登出 user logout 修改用户密码 user changepassword 创建用户 user createuser 修改用户信息 user updateuser 删除用户 user deleteuser 修改用户密码 user updateuserpwd 创建 AK/SK user addcredential 删除 AK/SK user deletecredential 修改邮箱 user modifyuser 修改手机 user modifyusermobile 修改密码 user modifyuserpassword 登录开启双因子认证 user modifysmverify 上传头像 user modifyuserpicture 修改 latch user modifylatchverify 14

19 操作名称资源类型事件名称修改 mc user modifymcconnectverify 管理员设置用户密码 user setpasswordbyadmin 创建用户组 usergroup creategroup 更新用户组 usergroup updategroup 删除用户组 usergroup deletegroup 创建项目 project createproject 修改项目 project updateproject 取消删除项目 project cancelprojectdeletion 创建委托 agency createagency 修改委托 agency updateagency 删除委托 agency deleteagency 切换角色 user switchrole 注册身份提供商 identityprovider createidentityprovider 更新身份提供商 identityprovider updateidentityprovider 删除身份提供商 identityprovider deleteidentityprovider 更新 IdP 元数据 identityprovider updatemetaconfigure 更新系统预置的 IdP 元数据 identityprovider updatesystemmetaconfigure 更新帐号登录策略 domain updatesecuritypolicies 更新密码策略 domain updatepasswordpolicies 更新访问控制列表 domain updateaclpolicies 更新安全警告策略 domain updatewarningpolicies 查看审计日志查看 IAM 的云审计日志开启了云审计服务后, 系统开始记录统一身份认证服务相关的操作云审计服务管理控制台保存最近 7 天的操作记录步骤 1 步骤 2 步骤 3 登录管理控制台单击页面上方的服务列表, 选择管理与部署 > 云审计服务, 进入云审计服务信息页面单击左侧导航树的事件列表, 进入事件列表信息页面 15

步骤 4 单击事件列表右上方的筛选, 设置对应的操作事件条件当前事件列表支持四个维度的组合查询, 详细信息如下 : 事件来源资源类型和筛选类型在下拉框中选择查询条件其中, 事件来源选择 IAM 筛选类型选择事件名称时, 还需选择某个具体的事件名称选择资源 ID 时, 还需选择或者手动输入某个具体的资源 ID 选择资源名称时, 还需选择或手动输入某个具体的资源名称操作用户 :

20 步骤 4 单击事件列表右上方的筛选, 设置对应的操作事件条件当前事件列表支持四个维度的组合查询, 详细信息如下 : 事件来源资源类型和筛选类型在下拉框中选择查询条件其中, 事件来源选择 IAM 筛选类型选择事件名称时, 还需选择某个具体的事件名称选择资源 ID 时, 还需选择或者手动输入某个具体的资源 ID 选择资源名称时, 还需选择或手动输入某个具体的资源名称操作用户 : 在下拉框中选择某一具体的操作用户, 此操作用户指用户级别, 而非租户级别事件级别 : 可选项为所有事件级别 normal warning incident, 只可选择其中一项起始时间结束时间 : 可通过选择时间段查询操作事件步骤 5 单击查询, 查看对应的操作事件步骤 6 在需要查看的记录左侧, 单击展开该记录的详细信息, 展开记录如图 3-1 所示图 3-1 展开记录步骤 7 在需要查看的记录右侧, 单击查看事件, 弹出一个窗口, 如图 3-2 所示, 显示了该操作事件结构的详细信息图 3-2 查看事件 ---- 结束 16

21 3.2 管理用户及其权限您可以通过为用户组授权并将用户加入到用户组的方式, 使用户具有用户组中的权限用户登录公有云系统后, 切换到对应的项目即可根据权限访问公有云资源步骤 1 安全管理员对资源进行分组项目中的资源相互隔离在区域下可以创建项目, 并在项目中添加资源, 使得项目之间的资源相互隔离步骤 2 安全管理员按照用户职责规划用户组并为用户组授权步骤 3 安全管理员创建用户并根据用户职责将用户加入到对应的用户组中 17

22 步骤 4 用户根据权限访问公有云系统中的资源 ---- 结束如何管理项目项目用于将 OpenStack 的资源 ( 计算资源存储资源和网络资源 ) 进行分组和隔离您账号中的资源必须挂载在项目下, 项目可以是一个部门或者项目组您可以使用安全管理员访问 IAM, 并在区域下创建项目, 来实现资源的隔离管理操作步骤步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击项目 18

23 步骤 3 在项目界面, 单击创建项目步骤 4 在所属区域下拉列表中选择待创建项目所属的区域步骤 5 输入项目名称项目名称的格式为 : 区域名称 _ 项目名称, 区域名称不允许修改项目名称可以由字母数字下划线 (_) 中划线 (-) 组成区域名称 _ 项目名称的总长度不能大于 64 个字符步骤 6 ( 可选 ) 输入描述步骤 7 单击确定返回项目列表, 新创建的项目状态显示为正常 ---- 结束后续处理相关任务给项目授权在修改用户组界面, 用户组权限区域中, 单击需要设置的项目对应的修改, 给对应项目选择需要的云资源权限集详情请参见如何创建用户组并授权开启云审计服务如果需要通过云审计服务记录在新创建的项目中云服务的操作, 需要在当前项目下重新开启云审计服务方法请参考 : 开启云审计服务查看项目的详细信息 a. 在项目列表单击目标项目所属区域前的, 查看对应区域下面的项目 b. 在操作列单击对应项目的查看查看项目的详细信息以及绑定在该项目上面的用户通过为用户组授予对应项目的权限, 再将用户加入到用户组中, 使用户继承用户组的权限, 并实现用户与项目之间的绑定用户通过切换项目来访问对应的资源 c. 单击用户权限列表权限列的查看修改项目查看绑定在项目上面的用户对应的权限 a. 在项目列表单击待修改项目所属区域前的 b. 在操作列单击对应项目的修改, 在修改项目页面修改项目名称和描述信息删除项目项目名称的格式为 : 区域名称 _ 项目名称, 区域名称不允许修改 19

24 注意项目删除成功后, 会将项目中的资源一起删除 a. 在项目列表单击待删除项目所属区域前的 b. 在操作列单击对应项目的删除只有区域下创建的项目可以删除, 区域对应的项目不能删除 c. 输入登录密码和对应验证码用户如果没有设置登录密码, 则不需要输入登录密码用户如果未绑定邮箱和手机, 则不需要输入验证码 d. 选择删除类型删除类型选择为 24 小时后删除, 该项目的状态显示为等待删除, 用户可以对等待删除的项目进行查看修改删除等操作等待删除的项目在 24 小时后启动删除流程, 在此期间可以通过取消删除来恢复, 等待删除中的项目中的资源会持续计费删除类型选择为立即删除, 该项目的状态显示为删除中, 用户可以对删除中的项目进行查看修改操作 e. 单击确定删除中的项目已经启动删除流程, 不可取消删除, 待项目中的资源删除后, 项目列表中将不再显示该项目返回项目列表, 待删除项目根据删除类型显示不同的状态切换项目, 方法请参考如何切换项目或区域如何创建用户组并授权操作步骤您可以根据用户职责规划用户组, 并赋予用户组对应职责的权限, 使得用户组中的用户拥有对应职责的权限通过用户组来管理用户权限可以使权限管理更有条理步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证 20

25 步骤 2 在左侧导航窗格中, 单击用户组步骤 3 在用户组界面中, 单击创建用户组步骤 4 输入用户组名称步骤 5 ( 可选 ) 输入描述建议给用户组添加描述, 比如给用户组授予 Security Administrator 权限, 可以在描述中添加 Security Administrator: 创建删除修改用户并为用户授权或者自定义内容, 方便用户直观的查看自己所具备的的权限及权限作用具体权限描述信息请参见 : 权限步骤 6 单击确定返回用户组列表, 用户组列表中显示新创建的用户组步骤 7 单击新建用户组操作列的修改进入修改用户组界面步骤 8 在用户组权限区域中, 单击需要授权项目操作列的修改授予的权限仅对当前项目生效如果需要为用户组授予多个项目的权限, 请分别单击所需要授权的项目对应的修改进行授权步骤 9 在策略对话框中选择策略步骤 10 单击确定 ---- 结束如何创建用户操作步骤当您需要与新用户共享您账号中的资源时, 您可以使用安全管理员通过 IAM 创建用户创建用户时可以为他们设置安全凭证和权限这些用户可以通过管理控制台或 API CLI SDK 等开发工具访问公有云系统步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户步骤 3 在用户界面, 单击创建用户 21

26 步骤 4 在创建用户界面, 输入用户名步骤 5 选择凭证类型凭证类型密码访问密钥适用场景登录管理控制台使用支持密码认证的 API CLI SDK 等开发工具来访问云服务使用支持密钥认证的 API CLI SDK 等开发工具来访问云服务步骤 6 在所属用户组的下拉框中, 选择需要加入的用户组您也可以通过输入关键字快速找到相关用户组一个用户可以同时加入多个用户组根据步骤 5 中选择的凭证类型, 进行后续操作凭证类型后续操作密码请执行步骤 8 访问密钥单击确认下载生成的密钥, 创建用户操作完成访问密钥是在 IAM 中认证的凭证, 如果不下载生成的密钥则无法获取对应的访问密钥如果该用户需要使用访问密钥在 IAM 中认证, 需要重新生成生成方法请参考 : 如何管理访问密钥步骤 7 单击下一步步骤 8 选择密码生成方式密码生成方式后续操作首次登录时设置自动生成系统会通过邮件发送一次性登录链接给用户用户使用该链接登录管理控制台时设置密码由系统随机生成 10 位密码适用于使用支持密码认证的 API CLI SDK 等开发工具来访问云服务 1. 输入邮箱用于接收登录链接 2. ( 可选 ) 输入手机 3. 单击确定 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机 3. 单击确定 4. 下载密码文件 22

27 密码生成方式后续操作自定义自定义用户的登录密码 1. ( 可选 ) 输入邮箱 2. ( 可选 ) 输入手机 3. 输入密码和确认密码密码必须满足如下策略 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 不能包含手机号或邮箱 4. 单击确定用户可以使用此处设置的用户名邮箱或手机号码任意一种方式登录系统当用户忘记密码时, 可以通过此处绑定的邮箱或手机号码来重置密码步骤 9 是否重置密码 : 用户需要创建一个新密码登录公有云系统该功能默认勾选, 为了用户账号安全, 建议保持默认勾选状态, 保证该用户账号的密码为用户本人所设置, 防止密码泄露步骤 10 单击确定创建用户完成 ---- 结束相关任务查看用户信息和修改用户信息 ( 包括用户状态绑定的邮箱手机号码所属用户组用户日志等 ) 删除用户 : 在用户列表中, 单击删除如何切换项目或区域不同项目或区域中的资源互相隔离, 您仅能访问被授权项目或区域下的资源如果您不具备当前项目或区域下的权限, 请先切换到被授权的项目或区域下 23

28 操作步骤步骤 1 登录公有云系统, 单击控制台步骤 2 单击左上角的, 在下拉框中选择需要访问的项目或区域切换至目标项目或区域即可访问对应的资源 ---- 结束如何查看或修改用户信息操作步骤管理员可以查看用户的基本信息所属用户组以及用户日志当人员职责发生变动时, 管理员可以通过修改用户所属的用户组来修改用户所拥有的权限当用户忘记或遗失密码或访问密钥时, 管理员可以修改用户的登录认证凭证步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户步骤 3 在用户列表中, 可查看修改用户的基本信息, 以及设置用户的凭证查看用户基本信息在用户列表中, 单击户日志修改用户基本信息查看用户的详细信息包括基本信息所属用户组以及用在用户列表中, 单击对应用户右侧的修改, 进入修改用户界面修改用户状态 : 用户默认为启用状态, 如果需要停止使用该用户, 可以在基本信息区域设置用户状态为停用修改登录验证方式用户需要绑定了手机 / 邮箱, 才可以开启短信 / 邮箱验证 ; 用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 验证开启该功能后, 登录系统时, 需要在登录验证页面输入虚拟 MFA/ 短信 / 邮箱验证码进行验证修改所属用户组 : 在所属用户组区域的下拉框中选择要加入的用户组, 或者单击目标用户组右侧的删除, 退出选中的用户组您也可以通过输入关键字快速找到相关用户组 24

29 设置用户凭证在用户列表中, 单击右侧设置凭证, 可修改用户的密码或管理用户的访问密钥凭证类型生成方式适用场景密码首次登录时设置系统会通过邮件发送一次性登录链接给用户, 用户使用该链接登录管理控制台时设置密码已绑定邮箱的用户重置 API 密码该用户需要使用密码登录管理控制台自动生成由系统随机生成 10 位 API 密码自动生成的密码可以在单击确认后下载使用支持密码认证的 API CLI SDK 等开发工具通来访问公有云系统的用户重置密码自定义自定义用户的 API 密码任何用户访问密钥用户自己创建或通过安全管理员创建在管理访问密钥区域, 可新增或删除访问密钥通过访问密钥认证访问公有云系统的用户是否重置密码 : 用户需要创建一个新密码登录公有云系统该功能默认勾选, 为了用户账号安全, 建议保持默认勾选状态, 保证该用户账号的密码为用户本人所设置, 防止密码泄露 ---- 结束如何查看或修改用户组操作步骤安全管理员可以查看和修改用户组的基本信息权限及用户组中包含的用户当用户权限发生变化时可以通过修改用户组的方式快速完成用户权限修改步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户组步骤 3 在用户组列表中, 可以查看或修改用户组信息 25

30 查看用户组信息在用户组列表中, 单击查看用户组的详细信息包括基本信息用户组权限以及用户组中包含的用户修改用户组信息在用户组列表中, 单击对应用户组右侧的修改, 进入修改用户组界面系统缺省用户组, 只能修改其中包含的用户, 不能修改基本信息与权限修改信息修改方法用户组权限 1. 单击需要授权项目操作列的修改 2. 在可选择策略区域中选择策略 3. 单击确定用户组中包含的用户增加用户在包含用户区域的下拉列表中选择需要加入的用户您也可以通过输入关键字快速找到相关用户删除用户在包含用户区域的删除对应用户 ---- 结束如何修改用户权限 3.3 策略管理修改用户权限的方法有以下两种 : 通过修改用户功能, 修改用户所属用户组该方法适用于调整单个用户权限变化方法请参考如何查看或修改用户信息通过修改用户组功能, 修改用户组权限或修改用户组中包含的用户该方法适用于将多个用户加入到同一用户组中, 或将多个用户从同一用户组中删除方法请参考 : 如何查看或修改用户组策略是描述一组权限集的语言, 它可以精确地描述被授权的资源集和操作集, 通过策略, 用户可以自由搭配需要授予的权限集, 策略中可以包含多个云服务的多个操作权限, 也可以只包含单个云服务的单个操作权限通过给用户组授予策略, 用户组中的用户就能获得策略中定义的权限,IAM 通过策略定义的权限内容实现精细的权限管理 IAM 支持以下两种形式的策略 : 系统策略 : 系统预置的常用权限集, 主要针对不同云服务的只读权限或管理员权限, 比如对 ECS 的只读权限对 ECS 的管理员权限等 ; 系统策略只能用于授权, 不能编辑和修改自定义策略 : 由用户自己创建和管理的权限集, 是对系统策略的扩展和补充 26

31 3.3.1 创建自定义策略操作步骤系统预置的权限不能满足要求时, 您可以创建自定义策略, 通过自定义策略来进行精细的访问控制创建自定义策略时, 您需要了解策略语言的基本结构和语法, 相关内容详情请参考策略语言步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击策略步骤 3 在策略界面, 单击创建自定义策略步骤 4 输入策略名称步骤 5 选择作用范围作用范围仅支持项目, 即该策略仅对该项目下的资源生效步骤 6 ( 可选 ) 输入策略描述步骤 7 在策略信息中选择模板并修改策略信息修改详情请参考策略语言步骤 8 单击校验语法如果系统提示语法错误, 请按照语法规范进行修改步骤 9 单击确定自定义策略创建成功 ---- 结束后续操作修改自定义策略当用户的权限发生变更时, 您可以修改自定义策略单击自定义策略页签中, 目标策略操作列的修改, 修改自定义策略的名称描述及策略信息删除自定义策略当您不再需要自定义授权策略时, 您可以将自定义策略删除 27

32 3.3.2 策略语言策略结构单击自定义策略页签中, 目标策略操作列的删除, 删除自定义策略将新创建的自定义策略授权给用户组, 使用户组中的用户具有策略定义的权限 a. 单击目标用户组操作列的修改 b. 在用户组权限区域中, 单击需要授权项目操作列的修改 c. 在策略对话框中的可选择策略区域选择新创建的自定义策略本章主要介绍策略的规范, 包含策略结构策略基本元素策略样例检查规则等内容细粒度授权策略结构包括策略版本号 (Version) 及策略授权语句 (Statement) 列表策略版本号 (Version) 标识策略结构的版本号, 自定义策略版本号为 1.1 策略授权语句 (Statement) 包括了基本元素 : 作用 (Effect) 和权限集 (Action) 策略基本元素策略授权语句 (Statement) 描述的是策略的详细信息, 包含作用 (Effect) 和授权项 (Action) 作用 (Effect) 作用包含两种 : 允许 (Allow) 和拒绝 (Deny), 当策略中既有 Allow 又有 Deny 的授权语句时, 遵循 Deny 优先的原则授权项 (Action) 对资源的具体操作权限, 支持单个或多个操作权限格式为 : 服务名 : 资源类型 : 操作, 例如 :vpc:ports:create 28

33 服务名 : 产品名称, 例如 ecs evs 和 vpc 等, 服务名仅支持小写资源类型和操作没有大小写要求, 支持通配符号 *, 用户不需要罗列全部授权项, 通过配置通配符号 * 可以方便快捷地实现授权策略仅支持 API 接口级别的权限, 目前策略仅支持 VPC EVS ECS 和 DSS 四个服务的细粒度权限管理, 用户需要在 Action 中写入各服务 API 授权列表中授权项中的内容, 来调用表格中左侧的 API 接口来实现细粒度授权各服务支持的策略 API 授权列表, 详情请参见 : 云硬盘接口参考附录中 API 授权列表内容专属分布式存储服务接口参考中 API 授权列表内容策略样例支持单个操作权限, 例如 : 查询弹性云服务器详情权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:servers:list", "ecs:servers:get", "ecs:servervolumes:use", "ecs:diskconfigs:use", "ecs:securitygroups:use", "ecs:serverkeypairs:get", "ecs:serverkeypairs:use", "vpc:securitygroups:list", "vpc:securitygroups:get"' "vpc:securitygrouprules:get"' "vpc:networks:get"' "vpc:subnets:get"' "vpc:ports:get"' "vpc:routers:get"' ] ] 支持多个操作权限, 例如 : 锁定云服务器和创建云硬盘权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:servers:lock", "evs:volumes:create" ] ] 通配符号 * 用法示例 : 对 ECS 服务资源的 Tenant Guest 权限 29

34 ECS 服务的 Tenant Guest 权限需要依赖 EVS VPC IMS 服务的 Tenant Guest 权限 "Version": "1.1", "Statement": [ "Effect": "Allow", "Action": [ "ecs:*:get", "ecs:*:list", "ecs:servergroups:manage", "evs:*:get", "evs:*:list", "vpc:*:get", "vpc:*:list", "ims:*:get", "ims:*:list" ] ] 策略语法策略结构体不完整时, 将不能通过系统的语法校验 Policy = <version_block>, <statement_block> <version_block> = "Version" : "1.1" <statement_block> = "Statement": [<statement>,<statement>, ] <statement> = <effect_block>, <action_block> <effect_block> = "Effect" : ("Allow" "Deny") <action_block> = "Action": ("*" [<action_string>, <action_string>, ]) 策略中 [ ] 字符为允许多值的意思, 当一个元素允许多值时, 使用逗号和省略号来表达, 比如 [<statement>,<statement>, ],[<action_string>, <action_string>, ] 多值之间如果用竖线 ( ) 隔开, 表示取值只能选取这些值中的一个比如 : ("Allow" "Deny") 当元素取值为数字时, 与字符串类似, 需要用双引号括起来比如 : <version_block> = "Version" : "1.1" 当元素取值为字符串 (String) 时, 支持 (*) 模糊匹配来代表 0 个或多个任意的英文字母您还可以通过以下网站了解更多有关 JSON 的语法标准 : 检查规则用户被授予的访问策略中可以包含多个授权语句, 当策略中既有 Allow 又有 Deny 的授权语句时, 遵循 Deny 优先的原则用户访问资源时, 权限检查逻辑如下 : 30

35 图 3-3 权限检查逻辑图每条策略做评估时, Action 之间是或 (or) 的关系 1. 用户发起操作请求, 鉴权开始 2. 在用户被授予的访问策略中, 系统将优先寻找显式拒绝指令如找到一个适用的显式拒绝, 系统将返回 Deny 决定, 鉴权结束 3. 如果没有找到显式拒绝指令, 系统将寻找适用于请求的任何 Allow 指令如找到一个显式允许指令, 系统将返回 Allow 决定, 由服务继续处理该请求如果找不到显式允许, 最终决定为 Deny 4. 如果代码在评估过程中的任意点遇到错误, 它将生成异常并关闭 3.4 如何设置账号安全策略操作步骤拥有安全管理员权限 (Security Administrator 权限 ) 的用户可以设置登录验证策略密码策略及访问控制列表来提高用户信息和系统的安全性步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证 31

36 步骤 2 步骤 3 设置登录验证策略 1. 在左侧导航窗格中, 选择账号设置 > 登录验证策略 2. 在账号锁定策略区域输入限定时间长度限定时间内登录失败次数账号锁定时长如果在限定时间长度内达到登录失败次数后, 账号会被锁定一段时间如 : 在 10 分钟内连续 3 次登录失败, 用户会被锁定 15 分钟 15 分钟后可以尝试再次登录 3. 在账号停用策略区域, 选中如果账号在有效期内未使用过, 则将被停用, 设置账号有效期限 4. 在最近登录提示区域中, 选中登录成功时, 将看到上次登录的时间等信息用户将在登录时的登录验证页面中看到上次登录的时间等登录提示信息 5. 在登录验证提示区域, 自定义登录时的验证信息用户将在登录验证页面中看到自定义的验证提示信息 6. 单击确定设置密码策略 1. 在左侧导航窗格中, 选择账号设置 > 密码策略 2. 在密码设置策略区域中, 进行如下设置 : 设置密码最小长度系统默认值为 6 个字符选择设置密码时同一字符不能连续出现, 设置密码中允许同一字符连续出现的最大次数选择新密码不能与最近的历史密码相同, 设置新密码不能与最近几次的历史密码相同 3. 在密码有效期策略区域中, 选择密码过期后, 系统强制要求修改密码 ( 距离密码到期 15 天时开始提示用户修改密码 ), 设置密码有效期密码过期后, 用户必须根据系统提示修改密码, 否则无法登录系统 32

37 密码必须满足如下策略 : 不能少于 6 个字符且不超过 32 个字符包括大写字母 (A~Z), 小写字母 (a~z), 数字 (0~9) 和特殊字符 ( 空格!"#$ %&'()*+,-./:;<=>?@[]^`_ ~) 至少 2 种的组合不能是用户名或者用户名的倒序 ( 不区分大小写 ), 例如 : 用户名为 A12345, 则密码不能为 A12345 a A 和 54321a 不能包含手机号或邮箱 4. 在密码最短使用时间策略区域中, 选择密码初次生成和每次修改之后, 密码的使用时间必须超过设置的最短使用时间, 才能进行修改, 设置密码最短使用时间当用户密码修改后, 再次修改密码时需要满足该策略设置的时间后才能修改 5. 单击应用步骤 4 设置访问控制列表 1. 在左侧导航窗格中, 选择账号设置 > 访问控制列表访问控制列表生效条件 : 通过管理控制台访问 : 仅对账号下的用户生效, 对账号本身不生效通过 API 接口访问 : 对账号和账号下的用户都生效, 修改后 2 小时后生效 2. 在访问控制列表界面中, 设置允许访问的 IP 地址或网段允许访问的 IP 地址区间 : 限制用户只能从设定范围内的 IP 地址登录系统允许访问的 IP 地址或网段 : 限制用户只能从设定的 IP 地址或网段登录系统例如 : /32 单击恢复默认值, 可以将允许访问的 IP 地址区间恢复为默认值, 即 ~ , 同时将允许访问的 IP 地址或网段清空允许访问的 IP 地址区间和允许访问的 IP 地址或网段同时设置时只要满足其中一种即可允许访问 3. 单击应用步骤 5 设置操作保护 1. 在左侧导航窗格中, 选择帐户设置 > 操作保护 2. 在操作保护界面, 勾选 / 去勾选是否开启 3. 单击保存勾选为开启操作保护, 去勾选为关闭操作保护 ( 默认关闭 ) 敏感操作由各个服务单独定义用户执行敏感操作后, 进入操作保护页面, 选择认证方式, 包括电子邮件和手机两种认证方式如果用户只绑定了手机, 则认证方式只能选择手机如果用户只绑定了电子邮箱, 则认证方式只能选择邮件如果用户手机电子邮箱均已绑定, 默认选择手机验证, 同时, 用户可以手动更改为邮件验证如果用户未绑定手机或电子邮箱, 该操作保护将无法生效, 默认直接认证通过 ---- 结束 33

38 3.5 委托其他账号管理资源当需要与其他账号共享资源, 或需要委托其他账号管理资源时, 可以创建委托并授予被委托方资源管理权限以账号 A 委托账号 B 管理账号 A 中的某些资源为例, 讲述委托的原理及方法步骤 1 账号 A 的安全管理员 A 创建委托步骤 2 账号 B 的安全管理员 B 授予用户 Job 管理账号 A 资源的权限 (Agent Operator) 1. 创建用户组 ( 如 :Agency) 并授予 Agent Operator 权限 2. 将用户 Job 加入到用户组 (Agency) 中步骤 3 账号 B 的用户 Job 根据权限管理账号 A 的资源 1. Job 登录公有云系统, 并切换角色到账号 A 2. 切换到项目 A 3. 根据权限管理账号 A 的资源 ---- 结束 34

39 3.5.1 如何创建委托操作步骤当您希望将您的资源共享给其他账号或委托更专业的人或团队来代为管理您账号中的资源时, 您的安全管理员用户可以通过创建委托的方式使被委托方使用自己的用户登录公有云系统后切换到您的账号下管理您的资源, 而不必要将您账号中的用户安全凭证 ( 密码 / 密钥 ) 共享给其他账号, 确保了您的账号安全步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击委托步骤 3 在委托页面, 单击创建委托步骤 4 在创建委托页面, 设置委托名称和委托类型表 3-2 委托类型委托类型普通账号云服务描述公有云系统的其他普通账号, 用于将资源共享给其他账号或委托更专业的人或团队来代为管理账号中的资源公有云系统服务, 用于授权云服务访问或者维护用户数据例如, 通过与 ECS 建立委托关系,ECS 可以获取用户的访问密钥调用 API 接口, 帮助用户运维或者监控数据委托类型为云服务的委托创建成功后, 不支持修改如果选择委托类型为普通账号, 在委托的账号中输入委托账号名称如果选择委托类型为云服务, 单击选择, 选择需要委托管理的云服务步骤 5 设置持续时间及描述信息步骤 6 在权限选择区域中, 单击需要设置的区域对应项目的修改步骤 7 在策略对话框中, 给委托企业选择策略具体权限请参见 : 权限 35

40 后续操作步骤 8 单击确定委托列表中显示新创建的委托 ---- 结束在委托列表中, 单击修改, 可以修改新建委托的基本信息, 包括委托的权限持续时间等如何切换角色背景信息只能修改委托类型为普通账号的委托当其他账号委托您管理他的资源时, 您的用户登录公有云系统后通过切换角色的方式来管理其他账号中的资源只有具有 Agent Operator 权限的用户可以切换角色, 被委托方登录后, 可以创建用户并授予用户 Agent Operator 权限, 用户通过切换角色切换至委托方管理资源前提条件已有账号通过创建委托的方式与您共享资源或委托您管理他的资源登录用户已经获取到委托方的账号名称及所创建的委托名称操作步骤步骤 1 单击右上方已登录的账号, 选择切换角色步骤 2 在切换角色页面中, 输入委托方的账号名称后续操作输入账号名称后, 系统将会自动匹配委托名称, 如果匹配的不是本次需要使用的委托名称, 可以删除委托名称, 在下拉框中选择对应的委托名称步骤 3 单击确定可以根据委托方授予的权限管理委托方的资源 ---- 结束单击右上角切换的委托账号, 选择切换至, 可以返回到您的账号管理您的资源 3.6 配置联邦身份认证如果您已经有自己的身份认证系统, 您可以通过配置联邦身份认证, 使得您身份认证系统中的用户可以直接访问公有云系统 36

用户管理复杂管理员需要分别在两个系统中为用户创建账号用户操作繁琐用户访问两个系统时需要使用两个系统的账号登录

41 3.6.1 为什么要配置联邦身份认证未使用联邦身份认证时企业 IdP 用户不能访问公有云系统企业管理系统有自己的 IdP( 以下称为 : 企业 IdP), 通过企业 IdP 认证的用户无法直接访问公有云系统用户管理复杂管理员需要分别在两个系统中为用户创建账号用户操作繁琐用户访问两个系统时需要使用两个系统的账号登录使用联邦身份认证后 IdP 用户以直接访问公有云系统企业 IdP 认证通过后, 用户即可直接访问公有云系统企业管理员无需在公有云系统中重复创建用户 37

42 用户管理简单企业管理员只需要在本企业管理系统中为用户创建账号, 用户即可同时访问两个系统降低了人员管理成本用户操作方便用户在本企业管理系统中登录即可访问两个系统如何配置联邦身份认证通过配置联邦身份认证, 可以简化企业用户的管理, 企业用户登录企业管理系统后即可访问公有云系统注意企业 IdP 服务器的时间需要和公有云系统的时间一致, 即都使用世界标准时间 (Universal Time Coordinated), 否则会导致联邦身份认证失败步骤 1 建立公有云系统与企业 IdP 的信任关系 38

43 步骤 2 步骤 3 在 IAM 上创建身份提供商将公有云系统的访问入口配置到企业管理系统中步骤 4 在 IAM 上设置企业 IdP 用户访问公有云系统的权限 39

44 企业 IdP 的用户登录后, 可以单击企业管理系统上的公有云系统入口, 直接访问公有云系统 ---- 结束如何建立公有云系统与企业管理系统的信任关系步骤 1 下载公有云系统的元数据文件访问网址单击右键, 选择目标另存为并设置文件名称, 例如 publiccloud-metadata.xml 步骤 2 步骤 3 步骤 4 获取企业 IdP 的元数据文件获取方法请咨询企业管理系统的管理员将公有云系统的元数据文件上传到企业 IdP 服务器上上传方法请咨询企业管理系统的管理员将企业 IdP 的元数据文件上传到 IAM 服务器上 ---- 结束如何创建身份提供商背景信息前提条件操作步骤在 IAM 上创建身份提供商, 并配置身份提供商的元数据文件后, 可以使企业 IdP 认证的用户直接访问公有云系统, 即无需通过公有云系统的登录界面进行登录认证 IAM 仅支持使用 SAML2.0 协议进行联邦身份认证, 因此企业 IdP 必须支持 SAML2.0 协议 SAML(Security Assertion Markup Language): 安全断言标记语言, 是一个在信任域之间交互认证授权信息的 XML 标准您可以通过以下网站了解更多关于 SAML2.0 协议的基本信息 : 已建立公有云系统与企业管理系统之间的信任关系方法请参见如何建立公有云系统与企业管理系统的信任关系步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证 40

45 步骤 2 在左侧导航窗格中, 单击身份提供商步骤 3 在身份提供商界面, 单击创建身份提供商步骤 4 设置身份提供商的名称启用或停用状态及描述信息协议类型只支持 saml 步骤 5 单击确定创建身份提供商成功, 界面提示如图 3-4 所示 : 图 3-4 创建身份提供商成功提示信息步骤 6 步骤 7 配置身份提供商信息单击界面提示中的修改身份提供商, 界面提示关闭后, 可以单击目标身份提供商操作列的修改在修改身份提供商页面的元数据配置区域配置元数据, 以下两种方式选择其中一种即可元数据配置支持系统自动提取和用户手动编辑两种方式, 如果元数据文件超过 500KB, 可以通过手动编辑配置元数据系统自动提取元数据 : a. 单击上传文件左侧的, 选择获取的企业 IdP 的元数据文件 b. 单击上传文件弹出页面显示系统提取到的元数据 c. 单击确定提示系统发现您上传的文件中包含多个身份提供商, 请选择您本次需要使用的身份提供商, 请在 Entity ID 下拉框中选择您本次需要使用的身份提供商提示元数据文件中 Entity ID 为空签名证书过期等内容时, 需要您确认元数据文件的正确性后, 重新上传或者通过手动编辑提取元数据 d. 单击确定 e. 单击, 可以查看系统提取的元数据详情手动编辑元数据 a. 单击手动编辑 b. 在手动编辑元数据页面中, 输入 Entity ID 签名证书和 SingleSignOnService 等参数 41

46 参数 Entity ID 支持的协议支持的 NameIdFormat 签名证书 SingleSignOnService SingleLogoutService 含义企业身份提供商的唯一标识, 元数据文件中可能包含多个身份提供商, 需要选择对应的身份提供商企业 IdP 与服务提供商之间, 通过 SAML 协议完成联邦认证,IAM 只支持 SAML2.0 协议身份提供商支持的用户名称标识格式名称标识是身份提供商与联邦用户之间实现通信的一种方式是一份包含公钥用于验证签名的证书, 为了确保安全性, 建议使用长度大于等于 2048 位的公钥系统通过元数据文件中的签名证书来确认联邦认证过程中断言消息的可信性完整性单点登录过程中发送 SAML 请求的方式元数据文件中的 SingleSignOnService 需要支持 HTTP Redirect 或 HTTP POST 方式单点登录详情请参见单点登录流程服务提供商提供会话注销功能, 联邦用户在 IAM 注销会话后返回绑定的地址 SingleLogoutService 需要支持 HTTP Redirect 或 HTTP POST 方式 c. 单击确定步骤 8 单击确定, 保存设置信息 ---- 结束结果验证步骤 1 单击目标身份提供商列表右侧的查看步骤 2 步骤 3 单击登录链接右侧的复制, 复制登录链接的地址, 并在浏览器中打开检查是否可以跳转到企业的 IdP 服务器提供的登录界面如果跳转失败, 请确认获取的企业文数据文件以及企业的 IdP 服务器是否配置正确步骤 4 输入用户名和密码验证是否可以登录到公有云系统登录成功, 将该地址以链接的形式配置到您自己的企业网站方法请参考如何配置页面单点登录 42

47 登录失败, 请检查您的用户名和密码 ---- 结束后续处理相关任务在身份转换规则区域, 创建身份转换规则身份转换规则详情请参见如何通过规则控制联邦用户访问公有云资源在企业管理系统中配置单点登录, 方法请参考 : 如何配置页面单点登录查看身份提供商信息 : 在身份提供商列表中, 单击查看, 可查看身份提供商的基本信息元数据详情身份转换规则单击查看身份提供商页面下方的修改身份提供商, 可直接进入修改身份提供商界面修改身份提供商信息 : 在身份提供商列表中, 单击修改进入修改身份提供商界面可修改身份提供商的状态 ( 启用或停用 ) 描述信息元数据信息和身份转换规则删除身份提供商 : 在身份提供商列表中, 单击删除, 删除对应的身份提供商如何配置页面单点登录将身份提供商的登录链接配置到企业管理系统上, 企业用户通过企业 IdP 认证后即可访问公有云系统前提条件已创建身份提供商, 并验证身份提供商的登录链接可以正常使用操作步骤步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击身份提供商步骤 3 单击目标身份提供商列表右侧的查看 43

48 步骤 4 单击登录链接右侧的复制步骤 5 在企业管理系统页面按 F12 将如下内容配置在页面上 <a href="< 登录链接 >"> 公有云系统入口 </a> 用户登录企业管理系统后通过单击公有云系统入口可以直接访问公有云系统 ---- 结束如何通过规则控制联邦用户访问公有云资源联邦用户的身份及权限信息由企业管理员通过企业 IdP 维护, 通过规则可以将联邦用户的身份及权限信息映射到公有云系统, 公有云系统通过规则来控制联邦用户可以执行哪些操作访问哪些资源等前提条件已创建身份提供商, 并验证身份提供商的登录链接可以正常使用了解 SAML2.0 协议, 熟悉元数据文件了解 SAML2.0 认证成功后的 Assertion 结构操作步骤步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证 44

49 步骤 2 在左侧导航窗格中, 单击身份提供商步骤 3 在身份提供商列表中, 选择您创建的身份提供商, 单击修改进入修改身份提供商界面步骤 4 在身份转换规则区域单击创建规则当您创建完身份提供商后, 公有云系统会预置一条默认的规则, 该规则将联邦用户的用户名统一转换为 FederationUser, 用于在公有云系统中显示用户名称仅允许当前 IdP 的联邦用户访问部分资源若此条规则不符合您的使用要求, 您可在编辑规则中将其修改用户名 : 表示联邦用户登录后在公有云系统中显示的用户名为了便于区分公有云系统的用户与联邦用户, 建议联邦用户使用 FederationUser_ 开头用户名可以自定义具体名称, 也可以是一个简单的表达式, 如 :FederationUser_ 规则创建成功后, 自动替换为联邦用户的邮箱即公有云系统中显示的用户名为 :FederationUser_XXX@XXX(XXX@XXX 为用户邮箱 ) 如果断言中没有用户邮箱, 则该规则不生效用户组 : 表示联邦用户登录公有云系统后, 在公有云系统中所属的用户组用户属于哪些用户组, 决定了用户具有什么权限 45

50 本规则生效条件 : 定义联邦用户拥有所选用户组权限的生效条件当满足该生效条件时, 联邦用户具有所属用户组的权限 ; 当不满足生效条件时, 该规则不生效, 且不满足生效条件的用户无法访问公有云系统例如, 为企业系统管理员设定规则用户名 :FederationUser_admin_ 用户组 : admin 生效条件 : 仅对指定 ID 的用户生效 ( 属性设置为 _NAMEID_, 条件设置为 any_one_of, 值设置为 ID1;ID2;ID3 ) 表示仅用户 ID 为 ID1,ID2 或 ID3 的用户具有公有云系统中的 admin 用户组的权限该 IdP 的其他用户不具有 admin 用户组的权限一个规则可以创建多条生效条件, 只要有一条生效条件满足, 此规则即可生效一个身份提供商可以创建多条规则, 规则共同作用如果所有规则对某个联邦用户都不生效, 那么该联邦用户禁止访问公有云系统步骤 5 在创建规则页面, 单击确定步骤 6 在修改身份提供商页面, 单击确定, 使设置生效 ---- 结束相关任务查看规则 : 在身份转换规则区域单击查看规则新创建的身份转换规则在 JSON 文件中显示 JSON 文件内容请参考 : 联邦用户身份转换规则编辑规则 : 在身份转换规则区域单击编辑规则该功能为了满足各种联邦认证要求提供了比较灵活的编辑规则的语法, 示例参考 : 联邦用户身份转换规则联邦用户身份转换规则规则编辑完成后, 可以点击页面左下角的校验规则, 校验规则的正确性联邦身份转换规则采用 JSON 文件格式呈现您可以通过编辑 JSON 文件来修改规则 JSON 格式如下 : [ "remote": [ "<condition>" ], "local": [ "<user> or <group> or <groups>" ] ] remote: 表示联邦用户在 IdP 中的用户信息, 由断言属性及运算符组成的表达式, 取值由断言决定 condition: 表示联邦用户到公有云系统的身份转换规则当前支持三种条件 : empty: 无限制, 即条件一直生效, 返回输入属性的值, 值可以用于填充 local 块中的占位符 46

51 any_one_of: 输入属性值中只要包含一个指定值即生效, 并返回布尔值, 返回值不能用于 local 块中的占位符 not_any_of: 输入属性值中不包含任何指定值才生效, 并返回布尔值, 返回值不能用于 local 块中的占位符 local: 表示联邦用户在公有云系统中的用户信息可以是占位符 0..n,0 表示 remote 中用户信息的第一个属性,1 表示 remote 中用户信息的第二个属性规则条件示例通过示例来加深您对身份转换规则条件 (empty any_one_of not_any_of) 的理解 empty: 该条件的特点是能够返回一个具体字串值, 该值用于填充 local 块中的占位符 0..n, 如下所示 [ "local": [ "user": "name": "0 1", "group": "name": "2" ], "remote": [ "type": "FirstName", "type": "LastName", "type": "Group" ] ] 表示联邦用户在公有云系统中的用户名称为 remote 的第一个属性值 + 空格 + 第二个属性值, 即 FirstName LastName 所属用户组为 remote 的第三个属性值, 即 Group,Group 属性的值只能有一个假设传入以下断言 ( 为了方便, 我们对断言的结构做了简化, 之后的示例也做为类似的简化, 将不再重复提示 ), 则联邦用户在公有云系统中的用户名为 John Smith,John Smith 在公有云系统中只属于 admin 用户组 FirstName: John LastName: Smith Groups: admin 如果联邦用户需要在公有云系统中属于多个用户组, 身份转换规则如下所示 [ "local": [ "user": "name": "0 1", "groups": "2" 47

52 ] ], "remote": [ "type": "FirstName", "type": "LastName", "type": "Groups" ] 表示联邦用户在公有云系统中的用户名称为 remote 的第一个属性值 + 空格 + 第二个属性值, 即 FirstName LastName 所属用户组为 remote 的第三个属性值, 即 Groups 假设传入以下断言, 则联邦用户在公有云系统中的用户名为 John Smith,John Smith 属于 admin manager 用户组 FirstName: John LastName: Smith Groups: [admin, manager] any one of not any of: 与 Empty 条件不同, 这两个条件返回的是一个布尔值, 该值不能用于填充 local 中的占位符所以以下示例中, 仅有一个占位符 0 用于被 remote 块中的第一个 Empty 条件填充, 第二个 group 为一个固定的值 admin [ "local": [ "user": "name": "0", "group": "name": "admin" ], "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ "idp_admin" ] ] ] 表示联邦用户在公有云中的用户名为 remote 的第一个属性, 即 UserName 所属用户组为 admin 该规则仅对在 IdP 中属于 idp_admin 用户组的用户生效如果联邦用户需要在公有云系统中属于多个用户组, 身份转换规则如下所示 [ "local": [ "user": "name": "0" 48

53 ], "groups": "[\"admin\",\"manager\"]" ], "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ "idp_admin" ] ] 表示联邦用户在公有云中的用户名为 remote 的第一个属性, 即 UserName 所属用户组为 admin manager 该规则仅对在 IdP 中属于 idp_admin 用户组的用户生效假设传入以下断言, 由于 John Smith 属于 idp_admin 用户组, 所以允许该用户访问公有云系统 UserName: John Smith Groups: [idp_user, idp_admin, idp_agency] 假设传入以下断言, 由于 John Smith 不属于 idp_admin 用户组, 所以该规则对 John Smith 不生效, 不允许 John Smith 访问公有云系统 UserName: John Smith Groups: [idp_user, idp_agency] 含有正则表达式的条件 : 你可以在条件里指定一个 "regex": true 用来表示系统将以正则匹配的方式来计算结果, 这是一个比较高级的功能, 仅推荐您做简单的了解使用 [ "local": [ "user": "name": "0", "group": "name": "admin" ], "remote": [ "type": "UserName", "type": "Groups", "any_one_of": [ ".*@mail.com$" ], "regex": true ] ] 结尾的用户生效, 在公有云系统中的用户名为 UserName, 所属用户组为 admin 条件组合 : 多个条件间, 以逻辑与的方式组合 49

54 [ ] "local": [ "user": "name": "0", "group": "name": "admin" ], "remote": [ "type": "UserName", "type": "Groups", "not_any_of": [ "idp_user" ], "type": "Groups", "not_any_of": [ "idp_agent" ] ] 表示该规则仅对既不属于 IdP 的 idp_user 也不属于 IdP 的 idp_agent 用户组的联邦用户生效对于生效用户 : 在公有云系统中的用户名为 UserName, 所属用户组为 admin 以上规则等同于 : [ ] 多规则 "local": [ "user": "name": "0", "group": "name": "admin" ], "remote": [ "type": "UserName", "type": "Groups", "not_any_of": [ "idp_user", "idp_agent" ] ] 多个规则组合, 用户名与用户组生成方式不同 50

55 用户名取第一个生效规则的用户名, 所有规则中必须至少有一个用户名规则生效, 否则系统不允许此用户登录 ; 而用户组则取所有生效规则用户组名称的集合一种比较实用的多规则配置方式是把用户名配置与用户组配置分离这样的配置会非常容易阅读 [, 单点登录流程 ] "local": [ "user": "name": "0" ], "remote": [ "type": "UserName" ] "local": [ "group": "name": "admin" ], "remote": [ "type": "Groups", "any_one_of": [ "idp_admin" ] ] 表示针对 IdP 中属于 idp_admin 用户组的用户生效, 在公有云系统中的用户名为 UserName, 所属用户组为 admin 假设传入以下断言, 由于 John Smith 属于 idp_admin 用户组, 因此此规则对 John Smith 生效在公有云系统中的用户名为 John Smith, 所属用户组为 admin UserName: John Smith Groups: [idp_user, idp_admin, idp_agency] 完成联邦认证配置后, 联邦用户通过企业 IdP 登录认证后可以直接访问公有云系统中的资源本章介绍通过 IdP 认证后如何在 IAM 中进行认证 51

IAM 根据链接中携带的账号和 IdP 信息, 查找出企业 IdP 的 Metadata 文件, 构建 SAML Request, 响应到浏览器 3.

56 登录流程步骤为方便您查看交互的请求及断言消息, 建议您使用 Chrome 浏览器并安装插件 SAML Message Decoder 1. 在浏览器中打开创建身份提供商后生成的登录链接,Web Browser 发起单点登录 2. IAM 根据链接中携带的账号和 IdP 信息, 查找出企业 IdP 的 Metadata 文件, 构建 SAML Request, 响应到浏览器 3. 浏览器响应后转发 SAML Request 到企业 IdP 4. 用户在 IdP 服务器, 输入用户名和密码等完成身份认证 5. IdP 服务器构造断言到 SAML Response, 响应到浏览器中 6. 浏览响应后转发 SAML Response 到 IAM 7. IAM 从 SAML Response 取出断言进行解析, 并根据配置的规则, 生成 Token, 完成登录 52

57 断言中要携带签名, 否则会导致登录失败 3.7 管理安全凭证如何查看安全凭证用户在登录公有云系统通过 API 访问公有云系统或进行公有云系统内业务对接时, 需要使用自己的安全凭证用户可以查看自己的属性信息或安全信息, 还可以修改已验证邮箱密码等当您需要通过界面或者 API 访问公有云系统, 或者进行公有云系统内业务对接时, 需要使用您的安全凭证, 您可以通过我的凭证查看安全凭证操作步骤步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面, 查看账户基本信息表 3-3 账户基本信息基本信息用户名用户 ID 用户的登录名, 登录公有云系统时需要提供用户在公有云系统中的唯一标识 ID, 由系统自动生成账号名账号的名称账号是承担费用的主体 ( 例如一个企业 ), 在注册时自动创建, 云服务资源按账号完全隔离登录公有云系统时需要提供账号 ID 已验证邮箱已验证手机密码账号在公有云系统中的唯一标识 ID, 由系统自动生成用户绑定的邮箱地址可以通过已验证邮箱登录公有云系统或者重置密码, 也可以接收验证码和系统推送信息用户绑定的手机号码可以通过已验证手机登录公有云系统或者重置密码, 也可以接收验证码和系统推送信息用户在公有云系统中设置的登录密码 53

58 基本信息登录验证方式虚拟 MFA 项目项目列表目前提供虚拟 MFA 短信邮箱这三种登录验证方式, 开启后, 登录时除了需要在页面上输入用户名和密码外, 系统还要求用户输入虚拟 MFA/ 短信 / 邮箱的验证码用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 登录验证项目用于将 OpenStack 的资源 ( 计算资源存储资源和网络资源等 ) 进行分组和隔离用户拥有的资源必须挂载在项目下, 项目可以是一个部门或者项目组通过在区域下创建项目, 来实现资源的隔离管理账号可访问的项目列表, 在访问 OpenStack 原生 API 时需要指定 project 参数访问密钥用户的 Access Key/Secret Key (AK/SK), 最多可创建两对, 使用 API 访问公有云系统时需要使用 AK/SK 进行加密签名 ---- 结束如何修改安全凭证背景信息操作步骤用户可以修改自己的凭证信息, 包括已验证邮箱密码头像等为了确保用户信息的安全, 建议您定期修改密码并开启登录验证功能如果第三方系统用户没有公有云系统的登录密码, 可以通过以下方式设置 : 如果已经绑定了邮箱或手机, 可以通过公有云系统登录页面的找回密码功能设置登录密码如果未绑定邮箱或手机, 请联系并提供邮箱给安全管理员 ( 具有 Security Administrator 权限的用户 ), 管理员通过设置用户凭证功能设置登录密码详情请参考 : 如何查看或修改用户信息步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面中, 修改如下信息 : 54

59 修改已验证邮箱已验证手机, 密码操作类似, 以修改已验证邮箱为例 : 已验证邮箱 a. 单击已验证邮箱对应的修改, 进入修改注册邮箱页面 b. 在验证身份步骤, 选择验证方式 : 邮箱或者手机用户只有同时绑定了邮箱和手机, 才能选择验证方式 c. 输入验证码 d. 单击下一步 e. 进入修改注册邮箱步骤, 输入新注册邮箱和邮箱验证码 f. 单击确定, 完成修改登录验证方式头像 ---- 结束 a. 单击修改, 在修改登录保护页面中, 选择需要使用的验证方式, 然后输入相应的验证码 b. 单击确认修改登录验证方式成功用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 登录验证开启该功能后, 登录公有云系统时, 需要在登录验证页面输入虚拟 MFA/ 短信 / 邮箱验证码进行验证选择关闭, 单击确认, 可以关闭登录验证 a. 在我的凭证页面, 单击头像下方的更换进入更换头像页面 b. 单击本地上传, 选择图片 c. 单击确定如何管理访问密钥完成头像更换访问密钥即 AK/SK(Access Key ID/Secret Access Key), 表示一组密钥对, 用于验证调用 API 发起请求的访问者身份, 与密码的功能相似用户通过调用 API 接口进行云资源管理 ( 如创建 VPC) 时, 需要使用成对的 AK/SK 进行加密签名, 确保请求的机密性完整性和请求双方身份的正确性用户可以在我的凭证中生成并管理访问密钥操作步骤步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证 55

60 步骤 2 步骤 3 在我的凭证页面, 单击管理访问密钥页签可以查看已创建的访问密钥管理访问密钥新增访问密钥并下载 a. 单击列表上方的新增访问密钥每个用户最多可创建 2 个访问密钥, 有效期为 360 天为了账号安全性, 建议定期更换访问密钥并妥善保存 b. 输入登录密码和验证码用户如果没有设置登录公有云系统的密码, 则不需要输入登录密码用户如果没有绑定邮箱和手机, 则不需要输入验证码 c. 单击确定, 生成并下载访问密钥删除访问控制密钥 ---- 结束 a. 单击删除 b. 输入登录密码和验证码 c. 单击确定如何查看项目 ID 操作步骤当用户发现访问密钥被异常使用 ( 包括丢失泄露等情况 ), 可以自行删除或者通知管理员重置访问密钥删除的访问密钥将无法恢复项目 ID 是系统所在区域的 ID 用户在使用 API 接口访问公有云系统 ( 如 : 创建 VPC) 时, 需要提供项目 ID 步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证 56

如何管理项目中新增删除项目相关内容新增策略管理章节 2018-02-13 第十一次正式发布 2017-12-15 第十次正式发布 2017-07-27 第九次正式发布

61 步骤 2 在我的凭证页面的项目列表页签查看项目 ID ---- 结束 3.8 修订记录表 3-4 文档修订记录日期修订记录第十三次正式发布新增审计章节第十二次正式发布如何管理项目中新增删除项目相关内容新增策略管理章节第十一次正式发布第十次正式发布第九次正式发布第八次正式发布如何创建委托中新增委托类型的表格删除权限章节, 权限详情请参考权限如何创建身份提供商中新增系统自动提取和手动编辑元数据内容修改 Server Administrator 权限描述修改 VPC Administrator 权限描述 57

62 日期修订记录第七次正式发布新增以下内容 : 如何建立公有云系统与企业管理系统的信任关系章节如何配置联邦身份认证章节单点登录流程章节 APM Admin 权限描述 CCS Administrator 权限描述 CCS User 权限描述 CDE Admin 权限描述 CDE Developer 权限描述 SvcStg Admin 权限描述 SvcStg Developer 权限描述 SvcStg Operator 权限描述 SWR Admin 权限描述修改 RDS Administrator 权限描述删除以下内容 : te_devcloud_project_admin 权限描述 te_devcloud_project_poweruser 权限描述 te_devcloud_project_readonly 权限描述 te_devcloud_codehub_admin 权限描述 te_devcloud_codehub_poweruser 权限描述 te_devcloud_codehub_readonly 权限描述 te_devcloud_codecheck_admin 权限描述 te_devcloud_codecheck_poweruser 权限描述 te_devcloud_codecheck_readonly 权限描述 te_devcloud_codeci_admin 权限描述 te_devcloud_codeci_poweruser 权限描述 te_devcloud_codeci_readonly 权限描述 te_devcloud_test_admin 权限描述 te_devcloud_test_poweruser 权限描述 te_devcloud_test_readonly 权限描述 te_devcloud_release_admin 权限描述 te_devcloud_release_poweruser 权限描述 te_devcloud_release_readonly 权限描述 58

63 日期修订记录第六次正式发布新增如何创建委托章节新增如何切换角色章节第五次正式发布第四次正式发布第三次正式发布新增 DWS Administrator 权限描述同步创建用户界面的更新, 刷新如何创建用户章节新增 Agent Operator 权限描述新增 CRS Administrator 权限描述同步账户策略界面的更新, 刷新如何设置账号安全策略章节新增以下章节 : 如何创建身份提供商第二次正式发布第一次正式发布如何通过规则控制联邦用户访问公有云资源新增密码最短使用时间 ( 分钟 ) 的参数设置 59

64 4 常见问题 4 常见问题 4.1 如何开启登录验证功能前提条件为了确保您信息的安全, 建议您开启登录验证功能, 开启该功能后, 登录公有云系统时, 需要在登录验证页面输入虚拟 MFA/ 短信 / 邮箱验证码进行验证用户需要绑定了手机 / 邮箱, 才可以开启短信 / 邮箱验证 ; 用户需要绑定 MFA 应用程序后, 才可以开启虚拟 MFA 验证操作步骤在统一身份认证服务, 修改用户功能中开启登录验证功能步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证步骤 2 在左侧导航窗格中, 单击用户步骤 3 在用户列表中, 单击对应用户栏目的修改步骤 4 在修改用户界面, 登录验证栏目, 选择需要使用的验证方式, 输入相应的验证码步骤 5 单击确定 ---- 结束 60

65 4 常见问题在我的凭证中开启登录验证功能步骤 1 单击右上方登录的用户, 在下拉列表中选择我的凭证步骤 2 在我的凭证页面, 单击登录验证栏目的修改步骤 3 在修改登录保护页面中, 选择需要使用的验证方式, 输入相应的验证码步骤 4 单击确认 ---- 结束 4.2 如何绑定虚拟 MFA 设备前提条件操作步骤 Multi-Factor Authentication (MFA) 是一种非常简单的最佳安全实践方法, 它能够在用户名称和密码之外再额外增加一层保护启用 MFA 后, 用户登录公有云网站时, 系统将要求用户输入用户名和密码 ( 第一安全要素 ), 以及来自其 MFA 设备的验证码 ( 第二安全要素 ) 这些多重要素结合起来将为您的账户和资源提供更高的安全保护 MFA 设备可以基于硬件也可以基于软件, 华为云目前仅支持基于软件的虚拟 MFA 虚拟 MFA 设备是能产生 6 位数字认证码的应用程序, 遵循基于时间的一次性密码 (TOTP) 标准此类应用程序可在移动硬件设备 ( 包括智能手机 ) 上运行, 非常方便用户需要先在智能设备上安装一个 MFA 应用程序 ( 例如 : Google Authenticator), 才能绑定虚拟 MFA 设备步骤 1 在控制台页面, 单击右上方登录的用户, 在下拉列表中选择我的凭证 61

66 4 常见问题步骤 2 在我的凭证页面, 单击虚拟 MFA 栏目的绑定步骤 3 进入登录验证策略页面密钥是获取 MFA 验证码的凭证, 使用一次后失效, 为了保证您的账户安全, 请勿向任何人提供此密钥步骤 4 在您的 MFA 应用程序中添加用户扫描二维码打开手机上已安装好的 MFA 应用程序, 点击应用程序上右下角的 +, 选择扫描条形码, 扫描登录验证策略页面上的二维码扫描成功后, 系统会自动添加用户, 应用程序上会显示您的账号和密钥手动输入打开手机上已安装好的 MFA 应用程序, 点击应用程序上右下角的 +, 选择输入提供的密钥, 手动添加用户手动输入添加用户方式只支持基于时间模式, 移动设备的时间需要和公有云系统的时间保持一致, 即都使用世界标准时间 (Universal Time Coordinated) 步骤 5 步骤 6 添加用户完成, 返回 MFA 应用程序首页, 查看虚拟 MFA 的动态口令页面动态口令每 30 秒自动更新一次在登录验证策略页面输入连续的两组口令, 然后单击确认绑定, 完成绑定虚拟 MFA 设备的操作 ---- 结束 4.3 如何获取 MFA 验证码在开启 MFA 后, 用户登录管理控制台时, 输入用户名和密码后, 还需输入 MFA 应用程序的动态验证码, 如下图所示 : 62

67 4 常见问题此时, 用户需要打开 MFA 应用程序, 在首页查看用户已绑定账号的验证码 4.4 如何解绑 MFA 只要手机不丢失或者没有删除虚拟 MFA 应用程序, 用户可以在界面自助完成解绑 MFA 的操作 1. 在公有云系统首页, 单击控制台 2. 单击右上方登录的用户, 在下拉列表中选择我的凭证 3. 单击虚拟 MFA 设备右侧的解绑 4. 在页面中, 在页面中输入从虚拟 MFA 设备获取的动态验证码 5. 单击确定, 验证成功后, 完成解绑 MFA 操作 4.5 如何控制 IAM 用户访问控制台操作步骤通过设置访问控制列表, 限制 IAM 用户只能从特定 IP 地址区间访问公有云系统, 提高用户信息和系统的安全性步骤 1 单击右上方登录的用户, 在下拉列表中选择统一身份认证 63

68 4 常见问题步骤 2 在左侧导航窗格中, 选择账号设置 > 访问控制列表访问控制列表仅对账号下的 IAM 用户生效, 对账号本身不生效步骤 3 在访问控制列表界面中, 设置允许访问的 IP 地址或网段允许访问的 IP 地址区间 : 限制用户只能从设定范围内的 IP 地址登录允许访问的 IP 地址或网段 : 限制用户只能从设定的 IP 地址或网段登录例如 : /32 允许访问的 IP 地址区间和允许访问的 IP 地址或网段同时设置时只要满足其中一种即可允许访问步骤 4 单击应用 ---- 结束 4.6 搜狗浏览器无法下载访问密钥怎么办操作步骤用户通过搜狗浏览器登录我的凭证下载访问密钥时, 默认使用搜狗高速下载模式进行下载由于当前不支持搜狗高速下载模式, 所以会出现无法正常下载的情况在搜狗浏览器中下载访问密钥时, 可以参照以下操作设置 IE 下载模式进行下载步骤 1 步骤 2 通过搜狗浏览器登录到我的凭证页面, 新增访问密钥时, 弹出下载确认提示框单击确定后, 搜狗浏览器弹出下载页面 64

69 4 常见问题步骤 3 选择下载保存的路径并在下载下拉框中, 单击下拉箭头, 然后选择 IE 为防止访问密钥泄露, 建议您将其保存到安全的位置步骤 4 从指定路径下获取下载保存的访问密钥 ---- 结束 4.7 Internet Explorer 浏览器下输入框提示信息无法自动消失怎么办当用户进行登录注册绑定华为云账号找回密码修改密码等操作时, 由于当前输入框不能完全支持 Internet Explorer 8 及以下版本的浏览器, 所以出现输入框提示信息 ( 如最短不能少于 5 个字符等提示信息 ) 无法自动消失的情况, 可以参照以下方法进行操作升级浏览器版本将 Internet Explorer 浏览器升级到 IE9 及以上版本再进行操作更换浏览器使用 Firefox 浏览器 (38.0 及以上版本 ) 或 Google Chrome 浏览器 (43.0 及以上版本 ) 进行操作 65

70 4 常见问题 4.8 Internet Explorer 浏览器下无法获取短信验证码怎么办当用户更换手机号码找回密码等操作时, 需要获取短信验证码进行验证由于当前公有云系统不支持 Internet Explorer 8 兼容性视图模式及 IE8 以下版本的浏览器, 所以用户操作过程中出现无法获取短信验证码的情况, 可以参照以下方法进行操作操作步骤设置浏览器模式 ( 针对使用 Internet Explorer 8 浏览器操作过程中出现无法获取短信验证码的情况 ) a. 在当前使用的 Internet Explorer 浏览器页面, 单击 F12 b. 单击浏览器模式 :IE8 兼容性视图 c. 选择 Internet Explorer 8 d. 单击右上角, 关闭开发人员工具窗口, 继续进行注册更换邮箱找回密码等操作升级浏览器版本将 Internet Explorer 浏览器升级到 IE9 及以上版本再进行操作更换浏览器使用 Firefox 浏览器 (38.0 及以上版本 ) 或 Google Chrome 浏览器 (43.0 及以上版本 ) 进行操作 4.9 如何在 Google Chrome 浏览器禁用密码联想与保存操作步骤当用户首次使用 Google Chrome 浏览器成功登录华为云, 浏览器会默认弹框提示用户并确认是否保存登录密码, 这是由于安装 Google Chrome 浏览器后, 浏览器设置页面的密码和表单区域中启用自动填充功能, 以便点按一次即可填写网络表格和询问是否保存您在网页上输入的密码选项是默认开启的如果用户根据界面提示确认保存密码后, 下次登录华为云时, 登录界面的密码输入框会自动联想填充字符, 为了确保账号及密码安全, 用户可关闭该功能以 Google Chrome 浏览器的正式版本为例, 可以参照以下方法进行操作步骤 1 打开 Google Chrome 浏览器, 单击右上角并选择设置步骤 2 在设置页面, 单击显示高级设置步骤 3 在密码和表单区域, 去勾选启用自动填充功能, 以便点按一次即可填写网络表单和询问是否保存您在网页上输入的密码 66

71 4 常见问题 ---- 结束后续处理清除已保存的账号登录信息的方法如下 : 1. 单击询问是否保存您在网页上输入的密码右侧的管理密码 2. 在密码对话框中已保存的密码区域, 选中某条登录信息记录, 单击右侧的, 可清除对应网站地址登录用户名及密码信息 67