文档中心

身份认证与访问管理IAM用户指南

最近更新时间：

4 使用 IAM

4.1 权限管理

4.1.1 权限简介

身份认证与访问管理（Identity and Access Management，以下简称 IAM）是云控制台提供的身份认证和分配资源访问权限的服务。IAM 权限策略是一组资源权限集，根据 IAM 用户被授予的权限，可以实现权限隔离。IAM 服务本身支持“系统策略”和“自定义策略”。
• 系统策略：统一由系统创建和维护，不支持修改权限范围。IAM 支持的系统策略内容如下：

• 自定义策略：IAM 自定义策略是您通过使用系统提供的授权项，根据需求自行创建、编辑、删除的权限策略，自定义策略版本由您自己更新维护，目前支持“可视化配置”和“脚本配置”两种方式创建自定义策略。
可视化配置：按可是话导航栏，选择策略效力、云产品/服务、操作、资源等权限策略内容，自动生成策略。
脚本配置：系统提供基础策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

4.1.2 配置 IAM 权限

4.1.2.1 授权用户使用 IAM
任务简介
IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，可选择直接给用户添加 IAM 权限策略；也可选择需将其加入用户组，且该用户组已添加 IAM权限策略。
本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用 IAM。
限制与指导
• 给单个 IAM 用户或用户组授权之前，已了解用户需具备的 IAM 权限，并已掌握权限策略授权范围。
• 已经创建 IAM 用户。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入 IAM 用户列表页面。
(2) 在目标 IAM 用户的操作列，单击“添加权限”，弹出用户权限配置窗口。
(3) 在“授权范围”区域，选择权限范围。可选择“整个云帐号”或“指定资源组”。
(4) 在“被授权主体类型”区域，确认授权主体为 IAM 用户，并确认被授权主体为当前 IAM 用户。
(5) 在“授权策略”区域左侧列框，勾选一个或多个 IAM 权限策略并单击，为用户添加权限。
您也可以将已配置的权限移除。
权限策略列框包含该云账号下全量系统策略和自定义策略。
(6) 单击“确定”，返回 IAM 用户列表页面。
4.1.2.2 授权用户组使用 IAM（可选）
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组管理页面。
(2) 在目标用户组的操作列，单击“添加权限”，弹出组权限配置窗口。
(3) 在左侧列框，勾选一个或多个 OSS 权限策略并单击，为用户组添加权限。
您也可以将已配置的权限从用户组移除。
权限策略列框包含该云账号下全量系统策略和自定义策略。
(4) 单击“确定”，返回用户组列表页面。
IAM 用户登录并验证权限
(1) 使用 IAM 用户帐号登录专属云控制台。
(2) 在服务列表中选择“身份认证与访问管理 IAM”，进入 IAM 管理页面。
(3) 对资源对象执行相应操作，确认权限是否生效。
4.1.2.3 创建自定义策略（可视化配置）
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限策略管理页。
(2) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。
(3) 填写权限策略名称，选择配置方式为“可视化配置”。

(4) 进行权限策略内容配置。
a. 配置权限策略效力，可选择“允许”或“拒绝”。
b. 选择云产品/云服务。
c. 配置云产品/服务的操作，根据需求勾选目标操作。
d. 选择资源，可选择“全部资源”或“特定资源”。
e. 配置请求条件（可选），单击“添加请求条件”，弹出请求条件配置窗口，根据实际产品的配置条目进行配置。
(5) 当前产品/服务的权限策略配置完成后，可按需再次添加权限策略，配置内容确认无误后，单击“确定”，完成自定义权限策略创建。
4.1.2.4 创建自定义策略（脚本配置）
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限策略管理页。
(2) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。
(3) 填写权限策略名称，选择配置方式为“脚本配置”。

(4) 进行权限策略内容配置，可直接在脚本内容中进行编辑，或复制已有权限策略，在此基础上进行修改。
(5) 配置内容确认无误后，单击“确定”，完成自定义权限策略创建。

4.2 IAM用户

4.2.1 IAM 用户登录控制台

CECSTACK 为 IAM 用户提供了以下两种方式登录控制台。
• 通过链接登录
云账号在用户管理页，单击“复制”IAM 用户登录链接，分享链接给创建的 IAM 用户，IAM用户通过链接直接进入 IAM 用户登录页面。

• 通过控制台登录
a. IAM 用户进入 CECSTACK 租户侧登录页，进入云账号登录页面。
b. 单击页面下方的“IAM 登录”，切换为 IAM 用户登录页面。
c. 输入相关内容，单击“登录”，即可登录 IAM 控制台。
d. 被设置为“下次登录时重置密码”的 IAM 用户，首次登录时系统会弹出重置密码页。

4.2.2 查看 IAM 用户详情

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择一个需要查看的 IAM 用户，单击操作列中“查看”。
(3) 在用户详情页，可以查看用户基本信息、安全设置、加入的用户组、IAM 用户个人权限以及该 IAM 用户从用户组继承的权限。

4.2.3 编辑 IAM 用户基本信息

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要编辑基本信息的用户，单击操作列中“查看”，进入用户详情页。
(3) 单击基本信息的“编辑信息”，弹出编辑用户基本信息窗口。

(4) 输入相关信息，单击“确认”完成基本信息编辑。

4.2.4 安全设置

云账号具有集中管理 IAM 用户账号的功能，可通过安全设置修改 IAM 用户账号的访问方式、修改登录密码、新建、启用/禁用、删除 IAM 用户的 AccessKey，以提高云账号的安全度。
4.2.4.1 开启控制台登录
若在创建 IAM 用户时未配置控制台访问，后续可以根据需求开启其控制台登录的方式。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要开启控制台登录的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，单击页面右侧“开启控制台登录”，弹出开启控制台登录配置窗口。
(4) 选择密码生成方式和重置密码要求，即可完成开启控制台登录。
控制台密码
− 自动生成：自动生成 IAM 用户登录控制台的密码。
− 自定义：用户根据需求自行设置。

要求重置密码：选择 IAM 用户在下次登录时必须重置密码。
4.2.4.2 修改控制台登录设置
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要修改控制台登录设置的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，单击“修改登录设置”，弹出修改控制台登录配置窗口。
(4) 选择密码生成方式和重置密码要求，即可完成修改控制台登录设置。
(5) 提供三种密码处理策略：
保留当前密码：使用 IAM 用户目前的密码。
自动生成密码：自动生成 IAM 用户的登录密码。
自定义密码：用户根据需求自行设置。

4.2.4.3 清空登录设置
云账号清空登录设置后，IAM 用户通过控制台登录的账号和密码将会失效，不可再通过控制台登录IAM。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择清除控制台的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，单击“清空登录设置”，弹出删除确认页。

(4) 单击“确定”，即可完成禁用控制台访问并清空控制登录设置。
4.2.4.4 管理用户 AccessKey
IAM 支持通过 API 或其它开发工具访问，如果 IAM 用户需要调用 API，可创建 AccessKey。
创建 AccessKey
IAM 账号最多创建两个 AccessKey。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要创建 AccessKey 的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，单击“创建 AccessKey”，弹出创建 AccessKey 页。
(4) 输入备注信息，单击“确定”，弹出下载 AccessKey 窗口，单击“立即下载”，创建好的AccessKey 自动下载至本地。
禁用 AccessKey
云账号暂时取消 IAM 用户通过 AccessKey 登录的资格时，可以通过设置禁用 AccessKey 来阻止IAM 用户的登录，被禁用的 AccessKey 可重新被启用。
(5) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(6) 选择需要禁用 AccessKey 的用户，单击操作列中“查看”，进入用户详情页。
(7) 在“安全设置”页签中，选择用户需要禁用的 AccessKey，单击操作列中“禁用”，弹出禁用提示页。
(8) 单击“确定”，即可完成禁用 AccessKey。
启用 AccessKey
云账号要恢复 IAM 用户被禁用的 AccessKey 登录方式时，可通过安全设置重新启用 AccessKey。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要启用 AccessKey 的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，选择用户需要启用的 AccessKey，单击操作列中“启用”，弹出启用提示页。
(4) 单击“确定”，AccessKey 被启用。
删除 AccessKey
云账号想使 IAM 用户的 AccsssKey 永久失效时，可以通过删除 AccsssKey 实现。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要删除 AccessKey 的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“安全设置”页签中，选择用户需要删除的 AccessKey，单击操作列中“删除”，弹出删除提示页。
(4) 单击“确定”，即可完成删除 AccessKey。

4.2.5 IAM 用户密码管理

4.2.5.1 重置密码
为了更好保障云账号的安全建议定期更换密码。
(1) 使用 IAM 账号登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“安全信息管理”，进入安全管理页。

(2) 单击“重置”，进入密码重置页。
(3) 输入新的密码，单击“确定”。
4.2.5.2 访问密钥管理
密钥泄露会带来数据泄露的风险，为提高云账号的安全性需要您自行定期更换密钥，CECSTACK 提供了新增密钥、删除密钥、启用/停用密钥的功能，方便用户进行密钥管理。
新增访问密钥
(1) 使用 IAM 用户登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“我的凭证”，进入访问密钥页。
(2) 单击“新增访问密钥”，弹出身份验证页。

(3) 输入密码后单击“确定”，系统自动创建访问密码，单击“立即下载”，可将新增的访问访问密钥下载至本地。
编辑访问密钥
(4) 使用 IAM 用户登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“我的凭证”，进入访问密钥页。
(5) 选择需要编辑的访问密钥，单击操作列的“编辑”，弹出编辑密钥窗口。
(6) 按需配置密钥描述信息后，单击“确定”，完成密钥编辑。
停用访问密钥
(1) 使用 IAM 用户登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“我的凭证”，进入访问密钥页。
(2) 选择需要停用的访问密钥，单击操作列的“停用”，弹出停用密钥验证窗口，输入密码，单击“确定”，即可实现访问密钥的停用。
启用访问密钥
(1) 使用 IAM 用户登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“我的凭证”，进入访问密钥页。
(2) 选择需要启用的访问密钥，单击“启用”，弹出身份验证页。
(3) 输入密码后，单击“确定”，即可实现访问密钥的启用。
删除访问密钥
(1) 使用 IAM 用户登录 CECSTACK 专属云控制台，将鼠标移至已登录的账号上，单击下拉菜单中的“我的凭证”，进入访问密钥页。
(2) 选择需要删除的访问密钥，单击操作列中的“删除”，弹出身份验证页。

(3) 输入密码后，单击“确定”，即可实现访问密钥的删除。
移除 IAM 用户权限
移除 IAM 用户权限
根据业务需求或 IAM 用户岗位的变动，IAM 用户不可再拥有某些产品/服务的权限，因此，需要移除IAM 用户下的权限。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要移除权限的用户，单击操作列中“查看”，进入用户详情页。
(3) 在“个人权限”页签中，选择需要移除的权限，单击操作列中“移除权限”，弹出确认提示页。

(4) 单击“确定”，移除 IAM 用户权限。

4.2.6 添加到用户组

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 选择需要添加至用户组的 IAM 用户，单击操作列中“添加到用户组”。

(3) 勾选需要添加到的用户组，单击添加用户组至“已选择”框，单击“确定”，即可实现IAM 用户添加至指定用户组。

4.2.7 删除 IAM 用户

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户管理”，进入用户管理页。
(2) 单击“删除”或“批量删除”，弹出确认窗口。

(3) 单击“确定”，即可删除 IAM 用户。

4.3 用户组

4.3.1 创建用户组

限制与指导
• 一个云账号最多可以创建 50 个用户组。
• 一个 IAM 用户最多可以加入 10 个用户组。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组列表页。
(2) 单击页面右上角“创建用户组”，弹出创建用户组窗口。

(3) 填写用户组名称及备注（用户组名称在同一云账号下唯一），单击“确定”，完成创建用户组。

4.3.2 查看用户组详情

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组列表页。
(2) 选择待查看的用户组，单击操作列中“查看”，进入用户组详情页面。

(3) 可查看当前用户组下的组成员和相应权限。
单击“编辑基本信息”可编辑该用户组的基本信息。
单击“添加组成员”可管理用户组成员。
单击“新增权限”可管理用户组权限。

4.3.3 设置组成员

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组列表页。
(2) 选择待添加成员的用户组，单击操作列中“添加组成员”。

(3) 在弹出的添加组成员窗口中，选择目标用户，单击添加 IAM 用户至已选择框。
(4) 用户选择完成后，单击“确定”，完成用户组成员添加操作。

4.3.4 设置组权限

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组列表页。
(2) 选择待添加权限的用户组，单击操作列中“添加权限”。
(3) 在弹出的添加权限窗口中，选择目标权限，单击添加权限策略至已选择框中。

(4) 权限选择完成后，单击“确定”，完成用户组权限添加操作。
(5) 用户组权限添加完成后，用户组内的 IAM 用户自定继承用户组策略。

4.3.5 删除用户组

(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“用户组”，进入用户组列表页。
(2) 选择待删除的用户组，单击操作列中“删除”，弹出删除用户组确认框。

(3) 删除用户组时，会将组成员从该组移除，并且移除该组的授权。单击“确定”，完成用户组删除。

4.4 权限策略管理

4.4.1 简介

权限策略用于描述一组权限集，权限用于控制云账号、IAM 用户对资源服务的访问能力，能够实现权限最小化的安全管控要求，目前 IAM 支持系统策略和自定义策略。
• 系统策略：统一由系统创建和维护，您只能使用而不能修改和删除。
• 自定义策略：您使用系统提供的授权项，根据需求自行创建、编辑、删除的权限策略为自定义策略，自定义策略版本由您自己更新维护。
4.4.1.1 云账号权限
• 注册认证后的云账号默认具备 CECSTACK 控制台全部的权限，是资源的归属主体。
• 云账号可以创建多个 IAM 用户。
• 云账号可以给 IAM 用户授予指定的访问权限。
4.4.1.2 IAM 用户权限
新创建的 IAM 用户默认没有任何权限，加入用户组后，IAM 用户将自动继承用户组的权限。
4.4.1.3 权限策略语法结构
权限策略语句结构如下示例：

{
     "Version":"1",
     "Statement":
     [{
         "Effect":"Allow",
         "Action":["slb:*"],
         "Resource":["*"]
         }
     ]
}

包括版本号、授权语句两部分：
• 版本号（Version）
• 授权语句
权限效力（Effect）
可取值：允许（Allow）或拒绝（Deny)。
示例："Effect":"Allow"。
当权限策略中既有允许（Allow）又有拒绝（Deny）的授权语句时，Deny 权限将覆盖Allow。
资源（Resource）
用于描述资源的表达式，按照 CRN（Cecloud Resource Name）的统一规范,其格式为：cecloud:<service>:<region>:<account-id>:<resourcetype/resourceid>。
cecloud：常量，统一填 cecloud。
service：云产品/服务名称，如"SLB"。
region：region 值，如“cn-beijing”"cn-wuhan"，支持通配符"*"。
account-id：资源所属具体云账号的用户 ID（可在“云账号中心—安全设置—用户 ID”查看），支持通配符"*"。
resourcetype/resourceid：资源类型/资源 ID，其语义及格式由具体产品服务指定（可参考相应产品的用户指南）。支持"resourcetype/resourceid"整体为通配符("*"或“*/*”)"或 resourceid"为通配符"*"。
操作（Action）
云服务定义的最细粒度的操作。格式：<云产品/服务名称>：<操作名称>；
示例："Action":["BSS:OrderPay","BSS:OrderCancel"]
说明：一条授权语句中，操作（Action）和资源（Resource）都支持多值。
4.4.1.4 IAM 用户鉴权规则
用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。检查规则如下：
(1) 用户发起访问请求。
(2) 系统在用户被授予的策略中寻找请求对应的 action，优先寻找 Deny 指令。如果找到一个适用的 Deny 指令，系统将返回 Deny 决定。
(3) 如果没有找到 Deny 指令，系统将寻找适用于请求的任何 Allow 指令。如果找到一个 Allow指令，系统将返回 Allow 决定。
(4) 如果找不到 Allow 指令，最终决定为 Deny，鉴权结束。

4.4.2 系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。IAM 支持的系统策略如下：

4.4.2.1 查看系统策略
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限策略管理页，默认展示系统中的全部策略内容，
(2) 选择系统权限策略，单击操作列的“查看”，进入系统权限策略内容页面。

(3) 可以在“基本信息”模块查看系统权限策略的内容，可在“策略内容”区域查看策略脚本内容，“引用记录”区域展示单前策略被授权的记录信息。
4.4.2.2 移除系统策略授权
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限策略管理页，默认展示系统中的全部策略内容，
(2) 选择系统权限策略，单击操作列的“查看”，进入系统权限策略内容页面。
(3) 选择“引用记录”页签，展示单前策略被授权的记录信息。

(4) 选择需要移除授权的记录，单击操作列的“移除授权”，弹出移除授权确认窗口，单击“确定”，完成授权移除。

4.4.3 自定义策略

IAM 自定义策略是您通过使用系统提供的授权项，根据需求自行创建、编辑、删除的权限策略，自定义策略版本由您自己更新维护，目前支持“可视化配置”和“脚本配置”两种方式创建自定义策略。
• 可视化配置：按可是话导航栏，选择策略效力、云产品/服务、操作、资源等权限策略内容，自动生成策略。
• 脚本配置：系统提供基础策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。
4.4.3.1 移除自定义策略授权
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限管理页。
(2) 选择需要移除 IAM 用户的策略，单击“查看”，进入权限策略内容页。
(3) 在“引用记录”页签中，选择需要移除的 IAM 用户，单击“移除授权”，弹出确认提示页。
(4) 单击“确定”，即可移除该策略下已授权 IAM 用户。
4.4.3.2 编辑自定义策略
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限管理页。
(2) 选择需要编辑的自定义策略，单击操作列“编辑”，进入自定义策略编辑页。
(3) 编辑需要修改的相关内容。
若该策略创建时采用“脚本配置”的方式，编辑时仅支持使用脚本配置。脚本编辑可通过 json 语句变更该策略内容。

选择“可视化配置”，依次选择权限策略内容，单击“确定”，即可完成编辑自定义策略。
4.4.3.3 删除自定义策略
策略已被 IAM 用户引用，则不能删除，请解除所有与该策略绑定之后再执行删除操作。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“权限策略管理”，进入权限管理页。
(2) 选择需要删除的自定义策略，单击操作列中“删除”，弹出确认提示页。
(3) 删除键为置灰状态，表示该策略被 IAM 用户引用，移除该策略下所有的 IAM 用户后可执行删除操作。

(4) 单击“确定”，即可完成删除自定义策略。

4.5 SSO管理

4.5.1 简介

IAM 系统支持基于 SAML 2.0 的 SSO（Single Sign On，单点登录）。身份提供商 IDP 可以使用委托 SSO 功能实现无需同步其用户数据，即可使用指定委托身份访问云平台。
您需要执行以下步骤：
(1) 创建身份提供商，建立云平台对企业 IDP 的信任关系。
(2) 为该身份提供商创建委托，并授予相关权限。
(3) 在企业 IDP 中配置云平台为可信 SAML SP，并进行 SAML 断言属性的配置。

4.5.2 创建身份提供商

限制与指导
您最多可以创建 100 个身份提供商。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“SSO 管理”，进入 SSO 管理页。
(2) 单击 SAML 服务提供方元数据 URL 的链接，进入云数据页面。
(3) 在元数据页面，右键选择“另存为”，保存云数据到本地。
(4) 在 SSO 管理页单击页面右上角的“创建身份提供商”，弹窗创建身份提供商窗口。

(5) 输入身份提供商名称及备注信息，上传已经保存至本地的 1 份 xml 格式的身份提供商（LDP）元数据后，单击“确定”，即可完成身份提供商创建。

4.5.3 创建委托并授权

任务简介
为身份提供商创建委托，并授予相关权限。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 单击页面右上角“创建委托”，弹出创建委托窗口。

(3) 输入委托名称，选择委托类型为“身份提供商委托”，在下拉窗口中选择目标身份提供商，按需输入备注信息后，单击“确定”，完成身份提供商委托创建。
(4) 在委托管理列表页，选择刚刚创建的身份提供商委托，单击操作列的“添加权限”，弹出添加权限窗口。
(5) 勾选需要添加的权限策略，添加至已选择框，单击“确定”，完成委托授权。

4.5.4 企业 IDP 配置

以上两步在云平台中的配置完成后，需要您到企业 IDP 中配置云平台为可信 SAML SP，并进行SAML 断言属性的配置。
拷贝元数据
(1) 将元数据拷贝至 ADFS 服务器。
(2) 打开服务器管理器，选择“工具 > AD FS 管理”进入 AD FS 管理页面，
(3) 在左侧导航栏，在“信赖方信任”右键，选择“添加信赖方信任(A)”。
(4) 在弹出的添加信赖方信任向导窗口中，选择“声明感知”，并单击“启动”。
(5) 在选择数据源页，选择“从文件导入有关信赖方的数据(0)”，单击“浏览”，选择拷贝至AD FS 服务器中的元数据文件，单击“下一步”。
(6) 在指定显示名称页，输入此信赖方的显示名称和注释后，单击“下一步”。
(7) 在选择访问控制策略页，选择“允许所有人”，单击“下一步”。
(8) 在添加信任页，输入信赖方的联合元数据，单击“下一步”。
(9) 在完成页，勾选“配置此应用程序的生命办法策略”，单击“完成”。
配置 ADFS
(1) 在 AD FS 管理页，选择信赖方信任，查看信赖方列表，选中已经配置的信赖方，右键选择“编辑声明颁发策略”，弹出编辑窗口。
(2) 在编辑声明颁发策略窗口，单击“添加规则”，弹出添加转换声明规则向导，选择“转换传入声明”。

a. 在配置声明规则页，参照如下说明进行配置。
− 声明规则名称：NameID。
− 传入声明类型：Windows 账户名。
− 传出声明类型：名称 ID。
− 传出名称 ID 格式：永久标识符。
− 传递所有声明值：勾选。
b. 配置完成后，单击“完成”。
(3) 在编辑声明颁发策略窗口中，单击“添加规则”，弹出添加转换声明规则向导，选择“以声明方式发送 LDAP 特性”。

a. 在配置声明规则页面，参照如下说明进行配置
− 声明规则名称：RoleSessionName。
− 特性存储：Active Directory。
− LDAP 特性列：User-Principal-Name。
− 传出声明类型：https://<domain>/SAML-Role/Attributes/RoleSessionName（domain 为当前环境域，实际示例见图 2，传出声明类型应与 sp 元数据文件RoleSessionName 一致）。
b. 配置完成后，单击“完成”。
(4) 在编辑声明颁发策略窗口中，单击“添加规则”，弹出添加转换声明规则向导，选择“使用自定义规则发送声明”。

a. 在配置声明规则页面，参照如下说明进行配置
− 声明规则名称：Get AD Groups
− 自定义规则：c:[Type =="http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory",types = ("http://temp/variable"), query = ";tokenGroups;{0}", param =c.Value);
b. 配置完成后，单击“完成”。
(5) 在编辑声明颁发策略窗口中，单击“添加规则”，弹出添加转换声明规则向导，选择“转换声明规则”。

a. 在配置声明规则页，参照如下说明配置：

− 声明规则名称：Role
− 自定义规则：domain 为当前域 Type 实际应与 sp 元数据文件中一致，provider�name 为身份提供商名称（在上图中创建的身份提供商）
− c:[Type == "http://temp/variable", Value =~ "(?i)^cecloud-([\d]+)"] => issue(Type = "https://<domain>/SAML-Role/Attributes/Role",Value =
RegExReplace(c.Value, "cecloud-([\d]+)-(.+)", "cecloud:IAM:*:$1:role/$2,cecloud:IAM:*:$1:Saml/<provider-name>"));
b. 配置完成后，单击“完成”。
(6) 配置完成后，声明颁发策略中共有四条规则。

(7) 获取云账号的 ID 信息，在服务器的 Active Directory 用户和计算机中配置组，并添加用户到用户组中。

登录验证
(1) 在 CECSTACK 控制台登录页，选择组织用户 SSO，输入云账号名称并选择相关身份提供商。

(2) 单击“前往登录”，进入身份提供省登录页面，输入 ad 用户及密码单击登录，如果多角色或多账户的则弹出身份选择页，单击“确定”，登录成功。

(3) 至此身份提供商使用 SSO 委托身份登录控制台的配置完成。

4.5.5 身份提供商管理

4.5.5.1 查看身份提供商详情
任务简介
您可以通过 SSO 管理功能删除已经创建的身份提供商详情信息。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“SSO 管理”，进入 SSO 管理页。
(2) 选择目标身份提供商，单击操作列的“查看”，进入身份提供商详情页。

(3) 单击备注信息后的“编辑”，弹出编辑备注窗口，可按需配置备注信息。
(4) 单击元数据信息后的“下载”，可将元数据信息下载至本地，如需对身份提供商的元数据进行替换，可以单击“替换”，上传新的身份提供商元数据。
4.5.5.2 删除身份提供商详情
任务简介
您可以通过 SSO 管理功能查看已经过期的身份提供商。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“SSO 管理”，进入 SSO 管理页。
(2) 选择目标身份提供商，单击操作列的“删除”，弹出删除确认提示窗口。

(3) 单击“确定”，完成身份提供商删除操作。

4.6 委托管理

4.6.1 委托简介

委托没有确定的身份凭证，是向您信任的实体进行授权的一种方法，实体用户可以是云账号、IAM用户或某些云服务。委托功能通过短时间有效访问令牌（STS 令牌），实现更安全的访问权限管控。
根据扮演委托的实体类型及使用场景的不同，委托可分为以下几类：

4.6.2 委托使用

4.6.2.1 使用说明
云账号可扮演其被授予的委托并获得该委托具有的相应权限从而访问特定资源，同时支持将它被能扮演的委托授予其下的 IAM 用户，使这些 IAM 用户也可以扮演角委托并获得委托所具有的相应权限从而访问相应资源。
4.6.2.2 为 IAM 用户授予委托权限
• 方式 1
为 IAM 用户授予系统策略 CecloudSTSAssumeRoleAccess，该策略使 IAM 用户可扮演当前云账号被授予的所有委托并获得委托所具有的相应权限。
• 方式 2
通过为 IAM 用户授予自定义策略，可为其指定可切换身份为特定的委托。自定义策略示例如下：

{ "Version" : "1",
     "Statement" : [ {
     "Effect" : "Allow",
   "Resource" : "ceclould:IAM:*:$accountId:role/$roleName",
     "Action" : "IAM:AssumeRole" } ]
}

该自定义策略中 Resource 为委托的 CRN，可在“委托管理-委托基本信息”页面查看和复制。其中，$accountId 为云账号 ID，$roleName 为委托名称。当该自定义策略中 Resource为“*”时，表示 IAM 用户可以扮演当前云账号被授予的所有委托，并获取相应的权限。

4.6.2.3 控制台切换为委托身份
被授予了切换委托权限的云账号和 IAM 用户在控制台可以切换委托，从而以委托身份访问相应资源。
(1) 使用云账号或 IAM 用户录控制台。
(2) 鼠标悬停在用户名处，单击“切换身份”，进入身份切换页面。
(3) 输入需要切换的云账号 ID/云账号用户名，选择需要切换的委托，单击“确定”，即可完成委托切换。切换完成后将可以获取该委托具有的权限用来访问相关资源。

4.6.3 创建委托

每个云账号最多可创建云账号委托和普通云服务委托共计 100 个。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 单击页面右上角“创建委托”，弹出创建委托窗口。

(3) 填写委托名称，选择委托类型，根据您选择的委托类型按需选择云账号 ID、普通云服务或身份提供商后，单击“确定”，即可完成创建委托。

4.6.4 委托授权

任务简介
委托创建后需对其进行授权，授权完成后委托即可正常使用。
限制与指导
仅云账号委托及普通云服务委托支持添加权限，服务关联委托的权限不可修改。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 选择一个需要授权的委托，单击操作列的“添加权限”，弹出添加权限窗口。
(3) 勾选需要添加的权限策略，添加至已选择框，单击“确定”，完成委托授权。

4.6.5 查看委托详情

用户可以查看委托详情并支持对云账号委托和普通云服务委托的基本信息进行编辑。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 选择需要查看的委托，单击操作列中的“查看”，进入委托详情页面。

(3) 单击页面右上角“编辑基本信息”，弹出编辑基本信息窗口。
(4) 修改云账号 ID、最大会话时间（调整范围在 3600-43200s 之间）、备注。
(5) 单击“确定”，完成基本信息编辑。

4.6.6 移除委托授权

已经授权的委托实际权限发生变化时，可以通过移除权限操作进行角色权限修改。
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 选择需要移除授权的委托，单击操作列的“查看”，进入角色详情页面。
(3) 在权限管理部分选择需要移除的权限策略，单击操作列中的“移除权限”，弹出移除权限策略确认提示框。
(4) 单击“确定”，即可移除委托的授权。

4.6.7 删除委托

任务简介
当委托超过可配置最大数量时，可以删除已经失效的委托释放角色配额。
限制与指导
仅云账号委托和普通云服务委托可以删除。
操作步骤
(1) 进入“身份认证与访问管理”页面，在左侧导航栏，选择“委托管理”，进入委托管理页。
(2) 选择需要删除的委托，单击操作列的“删除”，弹出删除委托确认提示框。
(3) 单击“确定”，即可删除该委托。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服