更新时间:2022-07-05 GMT+08:00
分享

创建IAM用户

如果您是管理员,在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您需要将资源分配给企业中不同的员工或者应用程序使用,为了避免分享自己的帐号密码,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户。

默认情况下,新创建的IAM用户没有任何权限,管理员需要为其授予权限,或将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。IAM用户拥有权限后,IAM用户就可以基于权限对云服务进行操作。

“admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云服务资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。

如果删除并重新创建同名用户,则需要重新授权。

操作步骤

  1. 管理员登录IAM控制台。
  2. 在统一身份认证服务,左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。
  3. 在“创建用户”页面填写“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。

    • 新建IAM用户的用户名、绑定手机号和邮件地址不可与帐号、帐号中其他IAM用户重复。
    • 支持管理控制访问的IAM用户可以使用此处设置的用户名、邮件地址或手机号码任意一种方式登录华为云。
    • 手机号为选填项,如果该IAM用户的手机号已与其他帐号或IAM用户绑定,可以为用户绑定邮件地址或虚拟MFA进行身份验证。
    • 当用户忘记密码时,可以通过此处绑定的邮件地址或手机自行重置密码。如果用户没有绑定邮件地址或手机号码,只能由管理员重置密码。
    • 如果您需要为该IAM用户配置基于SAML协议的联邦身份认证,“外部身份ID”为必选参数(不超过128个字符)。

  4. 在“创建用户”页面选择“访问方式”。

    • 编程访问:为IAM用户启用访问密钥密码,支持用户通过API、CLI、SDK等开发工具访问云服务。
    • 管理控制台访问:为IAM用户启用密码,支持用户登录管理控制台访问云服务。
      • 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码
      • 如果IAM用户仅需编程访问云服务,建议访问方式选择编程访问,凭证类型为访问密钥
      • 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码
      • 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
      表1 配置凭证类型和登录保护

      凭证类型与登录保护

      说明

      访问密钥

      创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)

      一个用户最多拥有两个访问密钥。

      密码

      自定义

      自定义用户密码,并选择用户首次登录时是否需要重置密码。

      如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。

      自动生成

      系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。

      仅在创建单个用户时适用。

      首次登录时设置

      系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。

      如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。

  5. 选择“登录保护”设置。仅访问方式勾选管理控制台访问时,可以开启。

    • 开启登录保护(推荐):开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。

      您可以选择通过手机、邮箱、虚拟MFA进行登录验证。

    • 不开启:创建完成后,如需开启登录保护,请参见:登录保护

  6. 单击“下一步”,将用户加入到用户组(可选)。

    • 将用户加入用户组,用户将具备用户组的权限。
    • 如需创建新的用户组,可单击“创建用户组”,填写用户组名称和描述(可选),并勾选该用户组,用户将加入到新创建的用户组中。
    • 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
    • 一个用户最多可以同时加入10个用户组。

  7. 单击“创建用户”,IAM用户创建完成,用户列表中显示新创建的IAM用户。

    • 如果4勾选了“编程访问”,可在此页面下载访问密钥。
    • 如果“4>凭证类型”勾选了“密码>自动生成”,可在此页面下载密码。
      图1 创建成功

分享:

    相关文档

    相关产品

close