创建IAM用户
如果您是管理员,在华为云购买了多种资源,例如弹性云服务器、云硬盘、裸金属服务器等,您需要将资源分配给企业中不同的员工或者应用程序使用,为了避免分享自己的账号密码,您可以使用IAM的用户管理功能,给员工或应用程序创建IAM用户。
默认情况下,新创建的IAM用户没有任何权限。管理员可以为其授予权限,或将其加入用户组,并给用户组授权,用户组中的用户将获得用户组的权限。IAM用户也可以为自身授予权限。IAM用户拥有权限后,IAM用户就可以基于权限对云服务进行操作。
“admin”为缺省用户组,具有所有云服务资源的操作权限。将用户加入该用户组后,用户可以操作并使用所有云服务资源,包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。
如果删除并重新创建同名用户,则需要重新授权。
操作步骤
- 管理员登录IAM控制台。
- 在左侧导航窗格中,选择“用户”,单击右上方的“创建用户”。
图1 创建用户
- 在“创建用户”页面配置“用户信息”。如需一次创建多个用户,可以单击“添加用户”进行批量创建,每次最多可创建10个用户。
图2 填写用户信息
表1 用户信息 参数
描述
用户名
自定义,不可与账号、或账号中其他IAM用户重复。
邮件地址
自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。
手机号
自定义,不可与账号、或账号中其他IAM用户重复。可用于IAM用户身份验证、重置密码。
外部身份ID
IAM SSO类型的联邦用户单点登录中,与当前实体IAM用户对接的,企业自身用户的身份ID值。
为IAM用户配置基于SAML协议的虚拟用户SSO时,“外部身份ID”为必选参数(不超过128个字符)。
- 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。
- 当用户忘记密码时,可以通过此处绑定的邮箱或手机自行重置密码,如果用户没有绑定邮箱或手机号码,只能由管理员重置密码。
- 选择“访问方式”。
图3 选择访问方式
表2 访问方式 访问方式
说明
编程访问
为IAM用户启用访问密钥或密码,支持用户通过API、CLI、SDK等开发工具访问云服务。
管理控制台访问
为IAM用户启用密码,支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。
- 如果IAM用户仅需登录管理控制台访问云服务,建议访问方式选择管理控制台访问,凭证类型为密码。
- 如果IAM用户仅需编程访问云服务,建议访问方式选择编程访问,凭证类型为访问密钥。
- 如果IAM用户需要使用密码作为编程访问的凭证(部分API要求),建议访问方式选择编程访问,凭证类型为密码。
- 如果IAM用户使用部分云服务时,需要在其控制台验证访问密钥(由IAM用户输入),建议访问方式选择编程访问和管理控制台访问,凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
- 选择“凭证类型”。
图4 选择凭证类型
表3 配置凭证类型 凭证类型
说明
访问密钥
创建用户完成后即可下载本次创建的所有用户的访问密钥(AK/SK)。
一个用户最多拥有两个访问密钥。
密码
自定义
自定义用户密码,并选择用户首次登录时是否需要重置密码。
如果您是用户的使用主体,建议您选择该方式,设置自己的登录密码,且无需勾选首次登录时重置密码。
自动生成
系统自动生成IAM用户的登录密码,创建完用户即可下载excel形式的密码文件。将密码文件提供给用户,用户使用该密码登录。
密码文件需在创建完用户后及时下载,如取消下载将无法再次获取该密码文件。可以通过修改IAM用户密码重新设置用户密码。
仅在创建单个用户时适用。
首次登录时设置
系统通过邮件发一次性登录链接给用户,用户登录控制台并设置密码。
如果您不是用户的使用主体,建议选择该方式,同时输入用户的邮件地址和手机,用户通过邮件中的一次性链接登录华为云,自行设置密码。该链接7天内有效。
USB KEY
USB KEY是一种通过硬件存储用户凭证的设备。使用USB KEY进行身份验证,无需输入密码,可以避免密码意外泄漏带来的账号安全问题。
勾选后,该IAM用户只能使用USB KEY登录,IAM用户将无法使用密码相关功能。
表4 配置建议 管理控制台访问
编程访问
访问凭证
建议访问方式
建议凭证类型
勾选
不勾选
无特殊要求。
管理控制台
密码
不勾选
勾选
无特殊要求。
编程访问
访问密钥
不勾选
勾选
需要使用密码作为编程访问的凭证(部分API要求)。
编程访问
密码
勾选
勾选
需要在控制台验证访问密钥(由IAM用户输入)。
例如:例如IAM用户在控制台使用云数据迁移CDM服务创建数据迁移,需要通过访问密钥进行身份验证。
编程访问和管理控制台
密码和访问密钥
- 选择“登录保护”设置。仅访问方式勾选管理控制台访问时,可以开启。
图5 选择登录保护
- 开启登录保护(推荐):开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。
- 不开启:创建完成后,如需开启登录保护,请参见:登录保护。
- 单击“下一步”,(可选)勾选要加入的用户组,将用户加入到用户组。加入用户组后,用户将具备用户组的权限。
图6 加入用户组
- 如需创建新的用户组,可单击“创建用户组”,创建完成并勾选该用户组,用户将加入到新创建的用户组中。
- 如果该用户是管理员,可以将用户加入默认用户组“admin”中。
- 一个用户最多可以同时加入10个用户组。
- 单击“创建用户”,IAM用户创建完成,用户列表中显示新创建的IAM用户。