华为云-统一身份认证服务
华为云专属云用户指南
专属云用户指南文档版本01发布日期2017-06-23用户指南目录目录1 简介 (1)1.1 什么是专属云? (1)1.2 功能介绍 (1)1.3 使用场景 (1)1.4 计费介绍 (2)1.5 专属云与其他服务的关系 (2)2 开通和使用 (3)2.1 开通专属云服务 (3)2.2 申请专属云资源 (4)2.3 查询专属云信息 (5)2.4 扩容专属云资源 (7)3 常见问题 (8)3.1 什么是专属云? (8)3.2 专属云如何计费? (8)3.3 如何选择地域? (8)3.4 如何查看专属云中的云服务器? (8)3.5 专属云中计算资源池的内存分配率是如何计算的? (9)3.6 如何选择设备节点和个数? (9)3.7 设备节点是独占的吗? (10)3.8 可以使用设备节点上的硬盘吗? (10)3.9 专属云下购买云服务器与非专属云下购买云服务器有什么不同? (10)3.10 专属云内云服务器如何计费? (10)A 修订记录 (11)1简介1.1 什么是专属云?专属云(Dedicated Cloud,以下简称DeC)是在公有云上隔离出来的专属虚拟化资源池。
在专属云内,用户可申请独占物理设备,独享计算和网络资源,并使用可靠的分布式存储。
专属云在用户申请后才予以开通。
用户可在管理控制台统一管理资源,就像自建私有云一样的灵活使用公有云。
1.2 功能介绍l物理隔离用户独享专属云内计算资源,云服务器资源确保创建在物理隔离的专属云内。
l网络隔离提供自定义网段,方便用户自配置网络。
提供安全组策略,方便用户构建立体防护网络。
l分布式存储使用分布式存储提供实例的数据存储。
l资源管控用户可以查看专属云下设备节点的计算资源总量及消耗情况,根据需要申请扩容资源。
1.3 使用场景l对安全有高要求的行业。
用户间计算资源物理隔离,网络资源逻辑隔离,结合分布式存储及多种安全防护产品,为用户打造一个立体的安全防护环境。
l对系统稳定运行有要求的行业。
H13-811云服务HCIA题库
H13-811云服务HCIA题库更新日期:2020-5-141.一个AZ(Availability Zone)是一个或多个物理数据中心的集合,有独立的风火水电,将计算,网络,存储等资源划分成多个集群。
A.TRUEB.FALSEAnswer:A2.LEADS理念的理解哪项不正确?A.L:Lab as a serviceB.E:End to EndC.A:AgileD.D:DedicatedE.S:ServiceAnswer:E3.通常Regions是根据什么划分的?A.地理位置和网络时延维度B.集群服务器C.可用去(AZ)Answer:A4.云计算是一种模型,它可以实现随时随地,便捷的,随需应变的从可配置资源共享池中获取所需的资源(例如,计算.存储.网络.应用及服务),资源能够快速供应并释放,使管理资源的工作量和云服务提供商的交互减小到最低限度。
A.TRUEB.FALSEAnswer:A5.关于混合云下列说法哪项是不正确的?A.统一管理企业在公有云和私有云的资源B.实现业务资源在公有云与私有云之间流动C.通过混合云实现最优的资源调配D.只能将应用部署在公有云中Answer:D6.云计算的部署模式有哪些?(多选)A.私有云B.公有云C.混合云D.社区云/行业云Answer:ABCD8.华为云服务的定位说法正确的是?A.聚焦I层,使能P层,聚合S层B.聚焦S层,使能P层,聚合I层C.聚焦p层,使能I层,聚合S层D.聚焦I层,使能S层,聚合P层Answer:A9.以下哪些构成了华为公有云生态?(多选)A.应用超市B.开发者社区C.合作伙伴D.华为云服务认证工程师Answer:ABCD10.华为向开发者提供了能力开放,将会助力开发者将华为产品开放的能力与其上层应用融合,构建差异化的创新解决方案。
A.TRUEB.FALSEAnswer:A11.哪项不属于软件开发云的能力A.项目管理B.代码检查C.编译构建D.数据备份Answer:D12.下面哪项组件不属于大数据平台中的组件?A.MapReduceB.OpenStackC.HDFSD.YarnAnswer:B13.华为云应用超市提供哪些应用与服务?(多选)A.基础软件B.商业软件C.开发者工具D.专业服务Answer:ABCD15.可以跨VPC访问文件系统。
华为云计算介绍
IaaS-4.安全-2
态势感知 SA= 检测DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主 机、异常行为、漏洞攻击、命令与控制并聚合呈现 云堡垒机 CBH= 1提供主机、管理员账号、运维人员账号及权限变更的管理; 2提供单点登录、多因素认证、访问控制、授权管理;3提供SSH、TELNET、 RDP、VNC、SFTP和FTP等多种协议登录远程主机进行运维操作。 4提供 Linux命令审计和Windows操作录像来识别风险。 SSL证书管理 SCM=内部和外部SSL证书的统一管理(HTTPS服务所需加密 证书) 容器安全服务 CGS=扫描Docker节点容器镜像中漏洞扫描,安全策略实施和 异常事件收集 智能验证码服务 ICS=用户端设备信息采集和行为轨迹智能验证、拖动滑块和 设备信息验证、点选验证(12306验证)
02 IaaS-3.网络
虚拟私有云 VPC =虚拟局域网(隔离的、私密的虚拟网络环境) 弹性负载均衡 ELB =负载均衡器(Nginx) NAT网关 NAT =虚拟局域网网关(访问外网) 云专线 DC =本地到华为云私网的专线 虚拟专用网络 VPN =远程连接虚拟局域网的VPN 云解析服务 DNS = 域名转IP 云连接 CC = VPC之间以及云上多VPC与云下多数据中心之间 VPC终端节点 VPCES =通过专属网关,将VPC中的服务方便的提供给其它 VPC中的资源使用
03 PaaS-3.应用服务-2
API网关 APIG =API开放、购买和调用 应用编排服务 AOS =使用应用编排服务,通过模板对应用及应用所需资源进 行统一描述,一键式自动完成部署或销毁操作(docker-compose) 容器镜像服务 SWR =Docker镜像仓库 基因容器 GCS =支持DNA、RNA、液态活检等主流生物基因测序场景 (GATK4) 应用服务网格 ASM =Istio(服务治理)是基于Kubernetes(部署运维)构 建的开放平台提供熔断、限流降级、调用链治理等能力。 容器交付流水线 ContainerOps =Jenkins以DevOps理念为基础,面向从 源代码到生产上线全流程,提供代码编译、镜像构建、灰度发布、容器化部 署等一系列服务
云计算在云身份认证的实施步骤
云计算在云身份认证的实施步骤可以分为以下几个阶段:1. 前期准备:这一阶段主要涉及需求分析、安全策略制定、云资源规划、云服务采购等。
首先,需要明确云身份认证的目标和需求,考虑如何确保云环境中的数据安全、防止非法访问、合规性要求等。
其次,根据需求制定安全策略,包括访问控制策略、身份管理策略等。
同时,需要评估云资源需求,包括服务器、存储、网络等,并考虑购买云服务以确保资源的稳定性和安全性。
2. 身份管理平台建设:在这一阶段,需要选择合适的云服务提供商,并建立身份管理平台。
平台应能够集中管理用户身份信息,包括用户账号、密码、生物识别信息等。
同时,平台应支持多种认证方式,如密码、生物识别、短信/邮件验证等,以满足不同场景下的安全性和便利性需求。
此外,平台还应具备灵活的授权机制,以适应多层次、多角色的访问控制需求。
3. 集成与部署:在这一阶段,需要将身份管理平台与云资源进行集成,并进行部署和测试。
根据安全策略和访问控制需求,对不同的云资源进行授权和访问控制。
同时,需要将身份管理平台与云服务提供商的其他安全组件(如加密网关、数据备份等)进行集成,以确保整个云环境的安全性。
在部署和测试完成后,应对用户进行培训和指导,以确保他们了解如何使用身份管理平台进行身份认证和访问控制。
4. 监控与维护:在云身份认证实施过程中,需要持续监控和评估云环境的安全性。
定期检查身份管理平台的日志和告警信息,确保安全策略得到正确执行。
同时,应对云服务提供商的安全措施进行评估和调整,以确保整个云环境的安全性和稳定性。
在出现安全事件时,应及时响应并采取相应的补救措施。
5. 优化与改进:在云身份认证实施一段时间后,应对其进行评估和优化。
根据实际应用情况,对安全策略和访问控制策略进行调整,以提高安全性。
同时,应关注业界最新技术动态,引入新的安全措施和技术手段,以应对不断变化的威胁环境。
通过以上几个步骤的实施,可以确保云计算环境中的云身份认证得到有效的实施和管理,从而确保数据安全、防止非法访问、符合合规性要求等。
统一身份认证原理 -回复
统一身份认证原理-回复什么是统一身份认证?统一身份认证是指通过一种统一的机制来实现用户在不同应用系统中的身份认证和身份授权的过程。
具体来说,统一身份认证允许用户只需登录一次,即可访问多个应用系统,无需重复验证身份。
在现代社会中,人们需要在各种应用系统中使用不同的账号和密码,这对用户来说是一种不便。
而统一身份认证的引入,可以解决这个问题,提高用户的使用体验。
下面我们将一步一步地回答统一身份认证的原理。
1. 用户注册和认证统一身份认证的第一步是用户的注册和认证过程。
用户需要在中心认证系统中注册一个账号,并提供必要的个人信息。
在注册过程中,用户需要选择一个唯一的用户名和密码。
通常情况下,用户还可能需要提供其他身份认证信息,比如手机号码或者电子邮箱。
2. 服务提供商与认证中心的建立信任关系在统一身份认证系统中,有一个称为认证中心的关键组件。
用户在访问一个应用系统时,应用系统会向认证中心发送一个认证请求,以验证用户的身份。
因此,应用系统与认证中心需要建立起信任关系。
一般情况下,这是通过数字证书来实现的。
应用系统会与认证中心交换数字证书,以确保身份验证的安全性和准确性。
3. 用户登录过程用户登录过程是统一身份认证的关键环节。
当用户需要访问一个应用系统时,用户首先会被重定向到认证中心。
在认证中心的页面上,用户需要输入之前注册时的用户名和密码。
这一步骤叫做“第一次登录”。
在认证中心验证通过后,用户会被重定向回原始应用系统,并被自动登录。
这样,用户不需要再次输入用户名和密码,就可以访问应用系统了。
4. 令牌的生成和使用为了确保用户在不同应用系统之间的无缝访问,统一身份认证系统会生成一个令牌。
令牌是一个加密字符串,包含了用户的身份信息、权限信息和有效时间。
在用户登录成功后,认证中心会生成这个令牌,并发送给用户。
用户之后在访问其他应用系统时,会携带这个令牌。
应用系统会向认证中心发送令牌,认证中心会验证令牌的有效性,并授权用户访问相应的资源。
云安全中的身份认证与访问控制
云安全中的身份认证与访问控制随着云计算的广泛应用,云安全成为了一个重要的话题。
在云计算环境中,身份认证和访问控制是确保云环境安全性的两个关键方面。
本文将探讨云安全中的身份认证与访问控制,并介绍一些常用的方法和技术。
一、身份认证1. 身份认证的概念和原理身份认证是验证用户主体的身份信息是否合法和真实的过程。
在云环境中,身份认证的目的是确保用户是其声称的身份,并且有权访问云服务。
身份认证的原理主要包括以下几个步骤:- 用户提供身份信息:通常是用户名和密码,也可以是其他形式的凭证,如数字证书、生物特征等。
- 身份验证:云环境通过验证用户提供的身份信息来确定用户的真实身份。
- 认证结果反馈:验证结果会返回给用户,告知其身份认证是否成功。
2. 常用的身份认证方法在云安全中,常用的身份认证方法包括以下几种:- 用户名和密码认证:这是最常见的身份认证方式,用户提供用户名和密码进行验证。
云服务商通过比对用户提供的密码与存储的密码是否一致来验证用户身份的真实性。
但这种方式存在一定的安全风险,如密码泄露或被猜测等。
- 双因素认证:除了用户名和密码,还需要额外的认证因素,如手机验证码、指纹识别、物理令牌等。
通过引入多重认证因素,可以提高身份认证的安全性。
- 单点登录(SSO)认证:用户只需进行一次登录,即可访问多个云应用。
SSO认证利用令牌和票据来实现用户在不同应用间的身份传递和验证,提高了用户的使用便利性和系统的安全性。
二、访问控制1. 访问控制的概念和目的访问控制是指在云环境中对用户、角色和资源进行权限管理的过程。
其目的是确保只有经过授权的用户或角色能够访问其所需的资源,并限制未经授权的访问。
2. 常用的访问控制方法在云安全中,常用的访问控制方法包括以下几种:- 基于角色的访问控制(RBAC):将用户分配到角色,并根据角色的权限进行资源访问控制。
RBAC可以提供细粒度的权限管理,并降低授权管理的复杂度。
- 属性基础访问控制(ABAC):通过定义一组属性和策略来进行访问控制。
统一身份认证平台与数据中心功能需求
统一身份认证平台和数据中心功能需求一、统一身份认证统一身份认证是为了保证用户登录的统一入口所采取的技术手段,他可以实现学生在众多的学校应用系统中只使用一套登录用户名和密码,并能够实现用户的访问权限的集中控制和管理。
(一)目录服务器目录服务器是整个统一认证平台的基础,目录服务器采用标准的LDAP目录服务器产品,通过LDAP目录服务将校内的用户或组织信息以层次结构,面向对象的数据库管理方式加以收集和管理,对用户信息进行统一管理,保证了数据的一致性和完整性,为校园各类应用系统提供用户信息共享和使用。
(二)用户身份管理服务用户身份管理功能可以实现集中或者分布式的工作方式,对一个中央用户资料数据进行统一操作,用户身份管理服务可以提供集中/分布等两种管理方法。
系统管理员权限可以分派到以组为单位,访问权限的管理可以下放在各个级别。
可以使学校快速的对用户资料进行更新,无需通过统一的窗口单位。
(三)用户身份认证服务通过对角色的定义,用户身份认证服务允许管理员方便地对各种规模的用户授权访问或者取消授权访问,并提供以下功能:(1)提供多种用户身份认证方式:包括用户名/密码认证方式和数字证书方式(2)提供单点登录(3)具有目录功能,实现用户一次登录,可以访问权限内部的所以应用系统。
二、数据中心数据中心是校园应用的基础,它是对校园网应用各种平台的数据收集、整理、存储和展示的重要基础平台,是数字化校园实现的前提和基础。
它不但能解决各种应用系统的“数字孤岛”效应,保证数据的一致性,还能够为学生、老师提供完整的数字档案,并且能够为领导提供管理决策信息的重要功能。
下面是数据中心的要求:1、信息编码需求:(1)按照国家对高校的标准前提下,参照学院各个系统的具体字段要求来设计数据中心数据库结构。
具体标准包括:国家标准、《教育管理信息化标准-学校管理信息标准》。
(2)方便共享数据平台和各个应用系统的信息交互、保证基于数据平台数据的一致性。
华为云日志服务(LTS) 1.10.0 用户指南说明书
云日志服务(LTS) 1.10.0用户指南文档版本01发布日期2023-03-30版权所有 © 华为云计算技术有限公司 2023。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为云计算技术有限公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为云计算技术有限公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目录1 开始使用云日志服务 (1)2 权限管理 (2)3 快速入门 (7)3.1 入门概览 (7)3.2 步骤1:创建日志组和日志流 (8)3.3 步骤2:安装ICAgent (9)3.4 步骤3:接入日志 (11)3.5 步骤4:查看实时日志 (13)4 日志管理 (14)4.1 控制台首页 (14)4.2 资源统计 (16)4.3 日志组 (18)4.4 日志流 (20)5 日志接入 (24)5.1 主机接入 (24)5.2 CCE接入 (30)5.3 主机管理 (38)5.3.1 主机组 (39)5.3.2 主机 (43)5.3.2.1 安装ICAgent (43)5.3.2.2 升级ICAgent (46)5.3.2.3 卸载ICAgent (47)5.3.2.4 Agent状态 (49)6 查看日志 (51)6.1 日志搜索 (51)6.2 实时查看日志 (56)6.3 快速分析 (56)6.4 快速查询 (57)7 日志分析 (59)7.1 结构化配置 (59)8 过滤器 (69)8.2 禁用过滤器 (70)8.3 删除过滤器 (71)9 日志转储 (72)9.1 概述 (72)9.2 转储至OBS (72)9.3 转储至自定义Kafka (76)10 标签管理 (80)11 配置中心 (83)11.1 日志采集 (83)12 租户操作日志 (84)13 错误码参考 (85)13.1 LTS.0001 无效的projectId (85)13.2 LTS.0002 参数为空 (85)13.3 LTS.0003 无效的token (85)13.4 LTS.0007 传入的请求体不是JSON格式 (86)13.5 LTS.0009 参数校验失败 (86)13.6 LTS.0010 内部服务错误 (86)13.7 LTS.0011 非法的projectId (87)13.8 LTS.0014 操作数据库ES异常 (87)13.9 LTS.0018 当前用户无权限进行此请求 (87)13.10 LTS.0101 日志组名称已存在 (88)13.11 LTS.0102 创建日志组失败 (88)13.12 LTS.0103 删除日志组失败 (88)13.13 LTS.0104 日志组数量已达上限 (89)13.14 LTS.0105 日志组绑定了转储 (89)13.15 LTS.0106 创建或修改日志组失败 (89)13.16 LTS.0108 日志组绑定了采集路径 (90)13.17 LTS.0201 日志组不存在 (90)13.18 LTS.0202 创建日志流失败 (90)13.19 LTS.0203 鉴权失败 (91)13.20 LTS.0204 删除日志流失败 (91)13.21 LTS.0205 日志流名称已存在 (91)13.22 LTS.0206 日志流数量已达上限 (92)13.23 LTS.0207 日志流绑定了转储 (92)13.24 LTS.0208 日志流不存在 (92)13.25 LTS.0209 日志流绑定了采集路径 (93)13.26 LTS.0402 删除转储策略失败 (93)13.27 LTS.0403 创建转储策略失败,已关联转储 (93)13.28 LTS.0405 该转储策略不存在 (94)13.30 LTS.0413 创建转储策略失败 (94)13.31 LTS.0416 创建obs转储失败 (94)13.32 LTS.0500 内部服务错误 (95)13.33 LTS.0503 创建采集路径失败 (95)13.34 LTS.0505 删除采集路径失败 (95)13.35 LTS.0506 更新采集路径失败 (96)13.36 LTS.0511 对采集路径的操作失败 (96)13.37 LTS.0601 创建Kafka实例的参数不合法 (96)13.38 LTS.0701 时间参数不符合要求 (97)13.39 LTS.0901 过滤器名称已存在 (97)13.40 LTS.0902 创建过滤器失败 (97)13.41 LTS.0903 删除过滤器失败 (98)13.42 LTS.0904 更新过滤器失败 (98)13.43 LTS.0906 删除或更新过滤器失败 (98)13.44 LTS.0911 过滤器的个数已达上限 (98)13.45 LTS.0912 指标名称已存在 (99)13.46 LTS.1602 创建快速搜索失败 (99)13.47 LTS.1603 创建快速搜索失败 (99)13.48 LTS.1604 创建快速搜索失败 (100)13.49 LTS.1606 删除或更新快速搜索失败 (100)13.50 LTS.1607 删除快速搜索失败 (100)13.51 LTS.1901 某个参数不在指定的list中 (101)13.52 LTS.1903 limit的大小不在要求范围内 (101)13.53 LTS.1701 标签创建失败 (101)13.54 LTS.1819 主机组ID列表为空 (101)14 最佳实践 (103)14.1 使用LTS搜索历史日志 (103)14.2 使用OBS查看历史日志 (104)15 常见问题 (105)15.1 日志采集 (105)15.1.1 使用ICAgent过程中,CPU占用较高怎么处理? (105)15.1.2 云日志服务可以采集哪类日志?支持采集哪些文件类型? (105)15.2 日志搜索与查看 (105)15.2.1 实时查看最新日志,每一次加载数据时延是多久? (105)15.2.2 在云日志服务控制台查看不到原始日志怎么办? (106)15.2.3 如何手动删除日志? (106)15.3 日志转储 (106)15.3.1 日志转储后,LTS会删除转储的内容吗? (106)15.3.2 日志转储页面,转储状态异常是什么原因? (106)15.4 其他问题 (106)15.4.1 如何获取AK/SK? (107)用户指南 1 开始使用云日志服务1开始使用云日志服务步骤1使用浏览器,以VDC管理员或VDC业务员登录ManageOne。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么是统一身份认证统一身份认证(Identity and Access Management,简称IAM)是支撑企业级自助的云端资源管理系统,具有用户身份管理和访问控制的功能。
使用IAM,您可以管理用户(比如员工、系统或应用程序)账号,并且可以控制这些用户账号对您名下资源具有的操作权限。
当您的企业存在多用户协同操作资源时,使用IAM可以让您避免与其他用户共享账号密钥,按需为用户分配最小权限,也可以通过设置登录验证策略、密码策略、访问控制列表来确保用户账户的安全,从而降低您的企业信息安全风险。
如何管理用户组并授权企业中拥有“Security Administrator”权限的用户根据用户职责规划用户组,赋予用户组对应职责的权限,使得用户组中的用户拥有对应的权限。
通过用户组来管理用户权限可以使权限管理更有条理。
前提条件登录用户已具备“Security Administrator”权限。
操作步骤1. 选择“管理与部署> 统一身份认证服务”。
2. 在左侧导航窗格中,单击“用户组”。
3. 在“用户组”界面中,单击“创建用户组”。
4. 输入“用户组名称”。
5. (可选)输入“描述”。
6. 单击“确定”。
返回用户组列表,用户组列表中显示新创建的用户组。
7. 单击新建用户组“操作”列的“修改”。
进入“修改用户组”界面。
8. 在“用户组权限”区域中,单击需要设置的项目对应的“修改”。
9. 在“修改用户组权限”对话框中的“可选择权限集”区域选择需要的云资源权限集。
说明:系统默认提供的云资源权限集说明请参见:默认权限。
选中某一权限集名称,在下侧“权限集信息”区域可以查看该权限集的详细信息(JSON格式)。
具体说明请参见:权限集信息。
10. 单击“确定”。
11. 在“包含用户”的下拉复合框中,选择用户加入到用户组。
说明:您也可以通过输入关键字快速找到相关用户。
12. 单击“确定”。
操作结果创建的用户组会显示在用户组列表中。
后续处理在用户组列表中,单击可查看用户组的详细信息。
权限说明权限包括用户管理权限和云资源权限。
用户管理实现用户的创建、删除、修改和为用户授予相应的权限。
云资源权限包括对云资源的创建、删除、修改、设置等操作的权限。
为用户组添加云资源权限,再将用户加入用户组,可以使用户继承用户组的权限。
通过用户组来管理用户权限可以使权限管理更有条理,避免权限管理的混乱。
权限关系默认权限系统默认提供两种权限:用户管理权限和资源管理权限。
用户管理权限可以管理用户、用户组及用户组的权限。
具体权限请参见表1。
资源管理权限可以控制用户对云服务资源执行的操作。
具体权限请参见表2。
说明:对象存储服务和其他云资源隔离部署,因此对象存储服务仅有“Tenant Administrator”和“Tenant Guest”权限。
权限集信息在编辑用户组权限的“可选权限集”或“已选择权限集”区域框,选中某一权限集名称,下侧区域则显示该权限集的详细信息(JSON格式)。
每个权限集的详细信息包括一个或多个语句,每个语句描述一组权限。
下面是一个权限集信息的示例,参数说明如表3所示。
{"Version" : "1.0","Statement" : [{如何管理用户当企业需要为新增人员创建用户,或为API、CLI、SDK等开发工具访问云服务创建用户时,拥有“Security Administrator”权限的用户可以创建新用户并设置其访问凭证,以及使该用户加入相应的用户组使其继承所属用户组的权限。
前提条件登录用户已具备“Security Administrator”权限。
操作步骤1. 选择“管理与部署> 统一身份认证服务”。
2. 在左侧导航窗格中,单击“用户”。
3. 在“用户”界面,单击“创建用户”。
4. 在“创建用户”界面,输入“用户名”。
5. 选择“凭证类型”。
•密码说明:适用于登录管理控制台,或者使用支持密码认证的API、CLI、SDK等开发工具来访问云服务。
•访问密钥说明:适用于使用支持密钥认证的API、CLI、SDK等开发工具来访问云服务。
6. 在“所属用户组”的下拉复合框中,选择需要添加的用户组。
说明:您也可以通过输入关键字快速找到相关用户组。
•“凭证类型”选中“密码”。
请执行7。
•“凭证类型”选中“访问密钥”。
单击“确认”。
下载生成的密钥,创建用户操作完成。
说明:如果不下载生成的密钥则无法获取对应的访问密钥,请您根据实际情况进行操作。
7. 单击“下一步”。
8. 选择“密码生成方式”。
选择填写“邮箱”和“手机”。
•首次登录时设置:系统会通过邮件发送一次性登录链接给用户。
用户使用该链接登录管理控制台时设置密码。
•自动生成:由系统随机生成10位密码。
适用于使用支持密码认证的API、CLI、SDK等开发工具来访问云服务。
说明:自动生成的密码可以在单击“确认”后下载。
•自定义:自定义用户的登录密码。
说明:•只有当用户同时绑定“邮箱”和“手机”,才能使用登录时短信验证功能,该功能的开启方法请参见《我的凭证用户指南》中“如何修改“我的凭证”信息”。
•用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录系统。
•当用户忘记密码时,可以通过此处绑定的邮箱或手机号码来重置密码。
•密码复杂度要求如下:密码不能是用户名或者用户名的倒序(不区分大小写),例如:用户名为A12345,则密码不能为A12345、a12345、54321A和54321a;不能少于6个字符且不超过32个字符;包括大写字母(A~Z),小写字母(a~z),数字(0~9)和特殊字符(空格!"#$%&'()*+,-./:;<=>?@[]^`{_|}~)至少2种的组合。
9. 单击“确定”。
创建用户完成。
后续处理•查看用户的详细信息:在用户列表中,单击可查看用户的详细信息。
•修改用户的基本信息:在用户列表中,单击“修改”,修改用户的基本信息。
•修改用户所属的用户组:在用户列表中,单击“修改”,在“修改用户”界面的“所属用户组”区域增加或删除用户所属的用户组。
•删除用户:在用户列表中,单击“删除”,删除对应的用户。
•设置用户凭证:在用户列表中,单击“设置凭证”,修改用户的凭证或设置密钥。
如何创建委托当企业期望降低运营成本,或者委托更专业的人或团队来代理管理云资源时,企业中拥有“Security Administrator”权限的用户可以通过创建委托的方式和其他企业帐号建立委托关系,由被委托企业帐号代理管理云资源,实现云资源安全高效的管理工作。
前提条件登录用户已具备“Security Administrator”权限。
操作步骤1. 选择“管理与部署> 统一身份认证服务”。
2. 在左侧导航窗格中,单击“委托”。
3. 在“委托”页面,单击“创建委托”。
4. 在“创建委托”页面,设置“委托名称”和“委托类型”。
•如果选择“委托类型”为“普通帐户”,在“委托的帐户”中输入委托帐户名称。
•如果选择“委托类型”为“云服务”,单击“选择”,选择需要委托管理的云服务。
5. 设置“持续时间”及“描述”信息。
6. 在“权限选择”区域中,单击需要设置的区域或项目对应的“修改”。
7. 在“修改权限”对话框中的“可选择权限集”区域,给委托企业选择对应的权限集。
说明:具体权限集说明请参见:权限说明。
8. 单击“确定”。
委托列表中显示新创建的委托。
后续操作在委托列表中,单击“修改”,可以修改新建委托的基本信息,包括委托的帐号、持续时间等。
如何切换角色委托创建成功后,使用被委托的企业管理员帐户登录云服务系统,通过切换角色的方式为创建委托的企业进行云资源管理,实现云资源安全高效的管理工作。
前提条件•登录用户已具备“te_agency”权限。
•委托已创建成功。
操作步骤1. 单击右上方已登录的帐户,选择“切换角色”。
2. 在“切换角色”页面,输入“帐户”,在“委托名称”下拉框中选择目标委托。
3. 单击“确定”,进入委托帐户页面。
后续操作单击右上角切换的委托帐户,选择“切换至”,可以实现帐户回切操作。
如何设置帐户安全策略企业中拥有Security Administrator权限的用户可以设置登录验证策略、密码策略及访问控制列表来提高用户信息和系统的安全性。
前提条件登录用户已具备“Security Administrator”权限。
操作步骤1. 选择“管理与部署> 统一身份认证服务”。
2. 设置登录验证策略。
a. 在左侧导航窗格中,选择“帐户设置> 登录验证策略”。
b. 在“帐户锁定策略”区域输入“限定时间长度”、“限定时间内登录失败次数”、“帐号锁定时长”。
如果在限定时间长度内达到登录失败次数后,用户帐户会被锁定一段时间。
c. 在“帐户停用策略”区域,选中“如果帐户在有效期内未使用过,则将被停用”复选框,设置“帐户有效期限”。
说明:•该策略仅针对企业管理员创建的用户生效,对企业管理员不生效。
•系统默认的帐户有效期限为120天,用户可在1~240天的范围内设置。
d. 在“最近登录提示”区域中,选中“登录成功时,将看到上次登录的时间等信息”。
用户将在“登录验证”页面中看到上次登录的时间等登录提示信息。
e. 在“登录验证提示”区域,可以自定义登录成功时的验证信息。
用户将在“登录验证”页面中看到自定义的验证提示信息。
f. 单击“应用”。
3. 设置密码策略。
a. 在左侧导航窗格中,选择“帐户设置> 密码策略”。
说明:密码复杂度要求如下:•密码不能是用户名或者用户名的倒序(不区分大小写),例如:用户名为A12345,则密码不能为A12345、a12345、54321A和54321a;•不能少于6个字符且不超过32个字符;•包括大写字母(A~Z),小写字母(a~z),数字(0~9)和特殊字符(空格!"#$%&'()*+,-./:;<=>?@[]^`{_|}~)至少2种的组合。
b. 在“密码设置策略”区域中,进行如下设置:•设置“密码最小长度”。
说明:系统默认值为6个字符。
•选择“设置密码时同一字符不能连续出现”,设置密码中允许同一字符连续出现的最大次数。
•选择“新密码不能与最近的历史密码相同”,设置新密码不能与历史密码重复的次数。
c. 在“密码有效期策略”区域中,选择“密码过期后,系统强制要求修改密码。
(距离密码到期15天时开始提示用户修改密码。
)”,设置“密码有效期”。
用户必须在该策略设置的时间内修改密码,否则无法登录系统。
d. 在“密码最短使用时间策略”区域中,选择“密码初次生成和每次修改之后,密码的使用时间必须超过设置的最短使用时间,才能进行修改”,设置“密码最短使用时间”。