云服务器内容精选

  • 解绑标签策略 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页,选策略页签,展开“标签策略”列表,在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”,完成策略解绑。 方式二: 在Organizations控制台,进入策略管理页。 单击“标签策略”,进入标签策略列表。 单击标签策略的名称,选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 单击“确定”,完成策略解绑。 图4 解绑标签策略
  • 绑定标签策略 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页,选择策略页签。展开“标签策略”列表,单击列表上方的“绑定”。 在弹窗中选择要添加的策略后,单击“确定”,完成策略绑定。 图1 绑定标签策略 方式二: 在Organizations控制台,进入策略管理页。 单击“标签策略”,进入标签策略列表。 单击标签策略操作列的“绑定”,选中要绑定标签策略的OU或者账号。 单击“确定”,完成策略绑定。 图2 绑定标签策略
  • SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求,管理账号可以根据各服务支持的授权项,自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。
  • 权限控制原理 划定权限边界 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 IAM 策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能授予操作B的权限,即便授予了操作B的权限,也无法生效。 交集有效 权限边界的叠加遵从交集有效准则,父OU的SCP与子OU(或账号)的SCP共同允许的权限,作为子OU的最终权限边界。 如下图所示,左侧的椭圆表示附加到父OU的SCP,它允许权限A、B和C。右侧椭圆表示子OU(或账号)绑定SCP允许的权限,子OU(或账号)允许权限C、D和E。由于附加到父OU的SCP不允许D或E,因此父OU下的所有子OU和账号都不能使用它们,即使子OU的SCP明确允许D和E,它们最终仍然会被父OU的SCP阻止。子OU(或账号)的SCP不允许A或B,因此, 子OU(或账号)将阻止这些权限。最终,子OU的权限是父OU权限和子OU(或账号)绑定SCP的权限交集,即下图中的权限C。 如果椭圆右侧是一个成员账号,则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU,则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分,直接绑定的策略和继承的策略。某组织单元绑定的SCP,会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界,由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示,Account y隶属于OU3,Account y的权限边界是由继承自Root,OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作,则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着,必须在根组织单元和账号之间的每个层级,附加允许该操作的SCP。您可以使用下列任一策略执行此操作: 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny,并明确允许所有权限从根组织单元传递到每个账号,除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作,也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后,除非策略中明确允许,否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作,必须创建SCP并将它们附加到账号及其层级之上的每个OU,直至附加到根组织单元为止(包括根组织单元)。层次结构中的每个SCP(从根组织单元开始)必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时,账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP,分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作,鉴权规则会优先遵从拒绝操作,即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时,默认会为所有OU和账号附加全部权限(FullAccess策略),默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。
  • 显式拒绝和隐式拒绝的区别 Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时,默认情况即为Deny权限,称为隐式拒绝。当有策略授权Allow权限,且没有其他策略Deny该权限时,Allow的权限才能生效。 如果策略设置权限为Deny,则为显式拒绝。显式的Deny始终优先于Allow。例如,父OU的SCP,它允许权限A、B和C,但是子OU的SCP允许权限A、B,拒绝权限C,则该子OU的账号以及以下层级的账号,均无法使用权限C。 用户在发起访问请求时,鉴权规则如下: 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令,系统将返回Allow决定。 如果找不到Allow指令,最终决定为Deny,鉴权结束。
  • 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略页面。 图1 进入标签策略管理页 单击“创建”,进入创建标签策略页面。 编辑策略名称。系统会自动生成策略名称,您可根据需要自行修改。但请注意,新创建策略的名称不能与已有策略名称重复。 (可选)输入策略描述。 编辑策略内容,目前支持通过“可视化编辑器”和“JSON”两种方式进行编辑。 可视化编辑器:通过可视化编辑器编辑策略内容,无需了解JSON语法,编辑完成后可自动生成策略。具体步骤如下: 输入标签策略定义的标签的键。 指定标签键的大小写形式。 勾选此项则表示使用标签键的大小写形式进行校验,如不勾选则表示使用标签键的全小写形式,即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter,勾选此项后,后续检验规则以CostCenter为准;不勾选此项,则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表示此标签键仅允许使用此处指定的值,否则为不合规。如不勾选此项或勾选后未添加标签值,则此标签键使用任何值(包括没有值)都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”,在弹窗中阅读并勾选确认标签策略存在的风险说明,然后选择资源类型,单击“确定”。 如未指定任何服务和资源类型,则此标签策略不会对任何资源生效。 图3 指定策略生效的资源类型 单击“添加标签键”,可在策略内容中添加多个标签键用于标签策略检查。 JSON:通过JSON语法编辑策略内容,根据标签策略语法,在JSON编辑框内编写JSON格式的策略内容。编辑时系统会自动校验语法。如不正确,请根据提示进行修正。 图4 使用JSON编辑策略 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图5 添加标签 单击右下角的“保存”后,如跳转到标签策略列表,则标签策略创建成功。
  • 服务关联委托 Organizations使用IAM服务的委托信任功能,使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时,该服务可以请求Organizations在其成员账号中创建服务关联委托,可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限,允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见:已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时,Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。仅Organizations服务本身可以承担此委托,该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托,使用服务关联委托执行的任何操作将免受SCP限制。
  • 什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。例如,开启 CTS 云审计为可信服务后,CTS可以获取组织单元及成员账号信息,统一为整个组织提供 云审计 服务,记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见:已对接组织的云服务列表。
  • 移动账号 登录到管理账号后,您可以移动组织内的账号,将账号从当前组织单元,移动到其他的组织单元中。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要移动的账号。单击组织结构树上方的管理,选择“移动账号”。 图1 移动账号 在弹窗中选中要移动的目标组织单元,在下方的文本框中输入“确认”,然后单击“确定”,完成账号移动。 父主题: 账号管理
  • 创建账号 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击组织结构树上方的“添加”,单击“添加账号”。 图1 添加账号 在弹窗中,选择“创建新账号”。 输入账号名称和手机号,账号描述根据需要选择输入。注意,创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名,可以保持默认,或者进行自定义修改。 图2 新建账号 (可选)为账号添加标签。 标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Value_0001 单击“确定”,创建成功的账号将会显示在列表中。
  • 通过委托登录创建的账号 鼠标移动至右上方的用户名,选择“切换角色”。 图3 切换角色 在“切换角色”页面中,输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后,系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中,也会出现以cbc_开头的委托名称,该委托主要用于企业主账号对企业费用的统一管理,对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”,切换至创建的新账号中。
  • 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。 图2 创建SCP 输入策略名称。新创建的策略名称不能与已有策略名称重复。 (可选)输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号(Version)固定为5.0,不可修改。 当作用(Effect)为Allow时,不能有Condition元素,即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件(可选):单击“+”号,添加条件键和运算符,规定策略生效的条件。如图5所示。 图5 添加条件 (可选)单击“添加新语句”,可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组,表示不同的权限约束。 图6 添加新语句 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP创建成功;如系统提示策略内容有误,则请按照语法规范进行修改。
  • 查看账号详细信息 您可以随时查看组织内账号的详细信息,具体请参见如下步骤。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页。 选中要查看的账号,在界面右侧即可查看账号详细信息。包括账号名称、ID、归属组织单元、URN、加入方式、加入时间或创建时间、账号状态、手机号、账号描述,以及绑定的策略、标签、委托服务等信息。 图1 查看账号详情 父主题: 账号管理
  • 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。 图1 修改SCP 进入编辑策略页面,按需修改“策略名称”和“策略描述”。如#org_03_0036/fig977144619493所示。 按需修改策略内容。可使用语句编辑器进行修改,策略语法请参考SCP语法介绍。 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP编辑成功;如系统提示策略内容有误,则请按照语法规范进行修改。
  • 加入组织的影响 如果您邀请现有账号或创建新账号加入组织后,Organizations将自动对新的成员账号进行如下更改: Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。 新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU上的服务控制策略和标签策略,将应用到新的成员账号和成员账号名下的所有IAM用户中。 管理账号开启可信服务时,支持成员账号内部创建对应可信服务的服务关联委托。 本章将为您介绍如下内容,以帮助您管理组织中的账号: 邀请账号加入组织,包括管理账号创建邀请、管理您已发出的邀请,以及成员账号接受或拒绝邀请。 创建账号,管理账号可在组织中直接创建新账号。 关闭账号,管理账号可在组织中关闭不再需要账号,只有创建的账号才可以关闭,无法关闭邀请的账号。 移动账号,将账号从一个OU移动到另外一个OU。 查看账号详细信息,包括账号名称、ID、加入时间、归属组织单元、绑定的策略、标签和委托服务。 移除成员账号,管理账号从组织中移除成员账号。 查看账号记录,组织的管理账号可在账号管理页查看账号列表、邀请记录、创建记录及其相关信息,还可以进行邀请、创建、关闭、移动、移除账号以及取消邀请等操作。