IAM新旧控制台功能差异说明
IAM新版控制台相比旧版控制台提供更精细化和更灵活的权限管控能力,同时删除部分功能,更聚焦于提升IAM访问控制的业务能力。以下按照IAM控制台功能模块划分,细化新旧版本控制台功能的区别。
用户
| 功能模块 | 对比项 | 旧版控制台 | 新版控制台 |
|---|---|---|---|
| 创建用户 | 批量创建 | 支持 | 不支持 |
| 设置用户信息 | 用户名、描述、手机号、邮箱、外部身份源ID、设置访问方式、支持欢迎邮件设置密码、支持设置登录保护 | 仅用户名和描述即可 | |
| 创建方式 | 直接创建IAM用户 | 推荐创建IAM身份中心用户,也可以创建IAM用户 | |
| 授权方式 | 通过加入用户组授权 | 通过加入用户组授权或直接为用户附加身份策略授权 | |
| 用户管理 | 批量删除 | 支持 | 支持 |
| 批量编辑 | 支持(状态、访问方式、验证方式、登录密码、手机、邮箱) | 支持(状态、登录密码) | |
| 导出用户详细信息 | 支持(支持导出全部用户信息) | 支持(支持导出全部或选中的部分用户信息) | |
| 修改用户信息 | 仅用户状态和描述 | 支持修改用户名、状态和描述 | |
| 给用户添加标签 | 不支持 | 支持 | |
| 访问方式 | 支持修改“访问方式”为“编程访问或管理控制台访问”限制用户的访问方式 | 通过启用或关闭“管理控制台访问”限制能否访问控制台,通过是否为用户创建AK/SK限制能否通过编程访问调用API | |
| 安全设置 | 登录凭证 | 重置登录密码、删除密码、最近一次修改密码时间 | 禁用控制台访问权限(删除密码)、重置密码、密码更新时间、密码过期时间、最近一次登录时间 |
| 多因素认证设备 | 虚拟MFA、安全密钥 | 虚拟MFA、安全密钥 | |
| 登录保护 | 支持 | 不支持 |
用户组
新版控制台基本无变化,仅搜索能力变化和增强。在用户组列表页面支持根据用户组名称、描述和创建时间过滤用户组。
策略与授权
新版控制台支持更多的访问控制条件键、更加细粒度的权限管控能力。
| 对比项 | 旧版控制台 | 新版控制台 |
|---|---|---|
| 导航 | 权限管理包含授权管理和权限 | 仅身份策略 |
| 授权方式 | 支持IAM授权和企业项目授权 | 仅支持IAM授权,可以使用Condition条件键g:EnterpriseProjectId控制企业项目的授权范围。 |
| 能力 | 仅能在用户组和委托界面使用策略授权。开通企业项目后支持为用户直接进行策略授权,授权范围为指定企业项目 | 可以在策略界面直接将身份策略附加至IAM身份(用户、用户组、委托、信任委托)或从IAM身份分离 |
| 授权对象 | 仅支持为用户组、委托绑定系统策略、系统角色和自定义策略进行授权。开通企业项目后支持为用户直接进行系统策略、自定义策略授权,授权范围为指定企业项目 | 支持为用户、用户组、委托、信任委托授予系统身份策略和自定义身份策略 |
如下策略基于源IP拒绝对华为云的访问。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"Action": [
"*:*:*"
],
"Condition": {
"NotIpAddress": {
"g:SourceIp": [
"192.0.2.0/24",
"10.27.128.0/24"
]
}
}
}]
} 如下策略仅允许用户名为TestUser开头的IAM用户查询企业路由实例详情。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["er:instances:get"],
"Resource": ["*"],
"Condition": {
"StringMatch": {
"g:UserName": [
"TestUser*"
]
}
}
}
]
} 项目
新版控制台不再支持“项目”功能,可以使用Condition条件键g:ProjectId控制项目的授权范围,配置示例如下所示。如果仍然希望在统一身份认证控制台中使用该功能,可以前往旧版控制台使用。
如下策略仅允许在 IAM 项目10a6c23c2a1044779794798beb067c94下创建虚拟私有云。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["vpc:vpcs:create"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"g:ProjectId": "10a6c23c2a1044779794798beb067c94"
}
}
}
]
} 如下策略仅允许查询IAM项目10a6c23c2a1044779794798beb067c94下的云服务器详情。
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": ["ecs:cloudServers:showServer"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"g:ProjectId": "10a6c23c2a1044779794798beb067c94"
}
}
}
]
} 委托
| 功能模块 | 对比项 | 旧版控制台 | 新版控制台 |
|---|---|---|---|
| 委托列表 | 查看委托列表 | 仅能查看老控制台创建的委托 | 可以查看老控制台创建的委托,及新控制台创建的信任委托 |
| 创建委托 | 创建委托 | 创建的委托不支持设置信任策略 | 创建的信任委托支持设置信任策略 |
| 创建账号委托 | 输入账号名 | 输入账号ID | |
| 委托时长表述 | 持续时间 | 最大会话持续时长 | |
| 更多选项 | 无 | 外部ID、启用MFA | |
| 编辑方式 | 无 | 信任策略 | |
| 授权范围设置 | 配置策略并设置授权范围 | 无,创建完成后单独授权 | |
| 委托详情 | 基本信息 | 显示委托类型和账号名 | 仅显示URN |
| 授权计数 | 有 | 无 |
身份提供商
新版控制台支持基于SAML 2.0和OIDC(OpenID Connect)标准协议的单点登录(SSO)能力。新旧版本控制台身份提供商的区别如下表:
| 对比项 | 旧版控制台 | 新版控制台 |
|---|---|---|
| 控制台访问 | SAML 2.0和OIDC协议均支持由外部身份提供商发起(IdP-Initiated)及由华为云发起(SP-Initiated)的登录流程 | 仅在SAML2.0协议中支持由外部身份提供商发起 (IdP-Initiated)的登录流程 |
| API访问 | SAML 2.0和OIDC协议均支持获取Token和IAM Security Token | SAML 2.0和OIDC协议均支持获取STS Security Token,不再支持获取Token和IAM Security Token· |
| SSO方式 | 支持虚拟用户SSO和IAM用户SSO | 支持信任委托SSO |
| SAML断言加密 | 支持使用旧版华为云SAML元数据中encryption用途的证书对断言进行加密 | 支持使用自定义证书对断言进行加密,可以在新版控制台上传自定义证书 |
| OIDC JWKS密钥获取方式 | 仅支持手动将JWKS密钥配置在OIDC身份提供商中 | 支持通过JWKS端点自动获取,仅需配置OIDC身份提供商的URL |
| OIDC客户端ID数量 | 仅支持配置一个 | 支持配置100个 |
安全设置
新版控制台变化如下:
- 不再支持设置登录密码、手机号、邮箱。
- 不再支持敏感操作保护。
- 不再提供访问控制选项,合入登录验证策略页面,建议权限配置中condition条件键限制访问来源的IP。
我的凭证
新版控制台新增“登录凭证”和“多因素认证设备”功能。您可以使用“登录凭证”功能管理当前已登录控制台身份的密码,查看密码过期时间和上次修改密码时间。使用“多因素认证设备”功能,包括添加和解绑设备(包括虚拟MFA和安全密钥)。如果您是华为账号,请前往华为账号的账号与安全界面绑定华为账号的虚拟MFA,可以用于华为账号登录时的身份验证和华为账号的操作保护。