云服务器内容精选

华为云首页用户手册

管理与监管

组织 ORGANIZATIONS-配置审计 Config:条件（Condition）

条件（Condition）条件（Condition）是SCP生效的特定条件，包括条件键和运算符。条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。服务级条件键（前缀为服务缩写，如config:）仅适用于对应服务的操作，详情请参见表4。单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Config定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。表4 Config支持的服务级条件键服务级条件键类型单值/多值说明 rms:AuthorizedAccountOrgPath string 单值根据指定的资源聚合授权账号的Organizations Path过滤访问。 rms:TrackerBucketName String 单值根据指定的转储目标桶名称进行过滤访问。 rms:TrackerBucketPathPrefix String 单值根据指定的转储目标桶桶前缀进行过滤访问。

组织 ORGANIZATIONS 管理与监管
组织 ORGANIZATIONS-资源治理中心 RGC:操作（Action）

操作（Action）操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。关于RGC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。如果此列条件键没有值（-），表示此操作不支持指定条件键。关于RGC定义的条件键的详细信息请参见条件（Condition）。您可以在SCP语句的Action元素中指定以下RGC的相关操作。表1 RGC支持的授权项授权项描述访问级别资源类型（*为必须）条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - - RGC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。

组织 ORGANIZATIONS 管理与监管
组织 ORGANIZATIONS-消息通知服务 SMN:条件（Condition）

条件（Condition）条件（Condition）是SCP生效的特定条件，包括条件键和运算符。条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。服务级条件键（前缀为服务缩写，如smn:）仅适用于对应服务的操作，详情请参见表4。单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SMN 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。表4 SMN支持的服务级条件键服务级条件键类型单值/多值说明 smn:TargetOrgPath string 单值主题策略授权的组织路径。 smn:TargetOrgId string 单值主题策略授权的组织ID。 smn:TargetAccountId string 单值主题策略授权的账号ID。 smn:Protocol string 单值订阅终端协议。 smn:Endpoint string 单值订阅终端地址。

组织 ORGANIZATIONS 管理与监管
组织 ORGANIZATIONS-资源访问管理 RAM:条件（Condition）

条件（Condition）条件（Condition）是SCP生效的特定条件，包括条件键和运算符。条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。服务级条件键（前缀为服务缩写，如ram:）仅适用于对应服务的操作，详情请参见表4。单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 RAM 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。表4 RAM支持的服务级条件键服务级条件键类型单值/多值说明 ram:RequestedResourceType string 多值根据指定的资源类型过滤访问。 ram:ResourceUrn string 多值根据具有指定URN的资源过滤访问。 ram:Principal string 多值根据指定使用者的格式过滤访问。 ram:TargetOrgPaths string 多值根据指定使用者所在的组织路径过滤访问。 ram:PermissionUrn string 单值根据指定的权限URN过滤访问。 ram:ShareOwnerAccountId string 单值根据拥有的资源共享的特定账户过滤访问。例如，您可以使用此条件键指定可以根据资源共享所有者的账户ID接受或拒绝资源共享邀请。 ram:AllowExternalPrincipals boolean 单值按允许或者拒绝与外部使用者共享的资源共享过滤访问。例如，如果操作只能在允许与外部使用者共享的资源共享上执行，请指定true。外部使用者是指在其组织之外的账号。 ram:RequestedAllowExternalPrincipals boolean 单值根据指定的allow_external_principals过滤访问。外部使用者是指在其组织之外的账号。

组织 ORGANIZATIONS 管理与监管