云服务器内容精选
-
可信服务 可信服务 可信服务是指可与Organizations服务集成,提供组织级管理能力的华为云服务。启用华为云服务为可信服务后,可信服务会在成员账号中创建一个服务关联委托,该委托允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。目前支持的可信服务请参见:已对接组织的可信服务列表。 委托管理员账号 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号成为某个可信服务的委托管理员账号。成为委托管理员账号后,该账号下的用户可以使用对应可信服务的组织级管理能力。
-
组织的组成元素 组织 为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元(Organizational Unit,以下简称OU)四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。 根组织单元 当您开通Organizations云服务并创建组织后,系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端,组织由根组织单元向下关联组织单元和账号。 组织单元 组织单元是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目组等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。 管理账号 管理账号是标准的华为云账号。企业管理员在管理账号中,使用Organizations服务创建组织,并管理组织中其他账号。在管理账号中还可以管理整个组织的相关策略和可信服务。 成员账号 当启用Organizations服务后,通过Organizations服务邀请加入或直接创建的账号称为成员账号。成员账号是标准的华为账号或华为云账号,可以关联在根组织单元或者任一个组织单元下。 邀请 邀请其他账号加入组织的过程。邀请只能由管理账号发出,被邀请账号只有接受邀请后,才会加入组织。通过邀请加入组织的账号,不会改变该账号的费用结算关系。
-
组织策略 服务控制策略 服务控制策略 (Service Control Policy,以下简称SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务控制策略可以关联到组织、组织单元和成员账号。当服务控制策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该策略影响。详情可参考服务控制策略介绍。 标签策略 标签策略是策略的一种类型,可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略可以关联到组织、组织单元和成员账号。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。
-
功能规格 表1 Organizations服务的约束与限制 规格项 默认配额 申请更多配额 一个账号允许创建的组织数量 1个 说明: 成员账号无法创建组织 无 根组织单元数量 1个 无 组织中组织单元的数量 1000个 说明: 不包含根组织单元 无 组织单元可嵌套层数 5个 说明: 不包含根组织单元和成员账号 无 组织中成员账号数量 10个 工单申请 组织管理员最多可以同时创建成员账号的数量 5个 无 组织管理员在30天内最多支持关闭的成员账号数量 10%、最多200个 无 组织管理员最多可以同时关闭成员账号的数量 3个 无 24小时内可以执行的最大邀请尝试次数 20次 无 邀请有效期 14天 无 邀请记录在列表中保留的时间 1年 无 组织内可创建服务控制策略的数量 1000个 无 服务控制策略的长度 5120字符 无 组织内可创建标签策略的数量 1000个 无 标签策略的长度 10000字符 无 根、组织单元、账号、服务控制策略、标签策略上可附加的标签数量 20个 无 绑定在根、组织单元、账号上的服务控制策略的最大数量 5个 无 绑定在根、组织单元、账号上的标签策略的最大数量 10个 无
-
系统权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 Organizations服务为全局服务。授权时,“授权范围”需要选择“全局服务资源”。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),Organizations服务支持的API授权项请参见权限及授权项说明。 如表1所示,包括了Organizations服务的所有系统权限。 表1 Organizations服务系统权限 系统角色/策略名称 描述 类别 依赖关系 Organizations FullAccess 拥有该权限的用户可以执行Organizations服务支持的所有功能,包括创建、更改、删除、查询等操作。 系统策略 无 Organizations ReadOnlyAccess 拥有该权限的用户可以对组织信息执行只读访问。它不允许用户进行任何更改。 系统策略 无 表2列出了Organizations常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。“√”表示支持,“×”表示暂不支持。 表2 Organizations常用操作与系统权限的关系 操作 Organizations FullAccess Organizations ReadOnlyAccess 创建组织 √ x 查看组织 √ √ 关闭组织 √ x 创建OU √ x 修改OU √ x 查看OU详细信息 √ √ 删除OU √ x 邀请账号加入组织 √ x 创建账号 √ x 关闭账号 √ x 更新账号所属OU √ x 查看账号详细信息 √ √ 移除成员账号 √ x 启用服务控制策略 √ x 禁用服务控制策略 √ x 创建SCP √ x 修改SCP √ x 查看SCP √ √ 删除SCP √ x 绑定SCP √ x 解绑SCP √ x 启用可信服务 √ x 禁用可信服务 √ x 设置委托管理员 √ x 添加标签 √ x 修改标签 √ x 查看标签 √ √ 删除标签 √ x 如表3所示,包括了账号管理服务的所有系统权限。 表3 账号管理服务系统权限 系统角色/策略名称 描述 类别 依赖关系 AccountManagement FullAccess 账号管理服务所有权限,拥有该权限的用户可以启用、禁用、查看、列出组织内账号的区域等操作。 系统策略 无 AccountManagement ReadOnlyAccess 账号管理服务只读权限,拥有该权限的用户可以查看、列出组织内账号的区域信息,但无法进行启用、禁用操作。 系统策略 无 表4列出了账号管理服务常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。“√”表示支持,“×”表示暂不支持。 表4 账号管理服务常用操作与系统权限的关系 操作 AccountManagement FullAccess AccountManagement ReadOnlyAccess 启用账号的指定区域 √ x 禁用账号的指定区域 √ x 查看账号指定区域的状态 √ √ 列出账号的可用区域 √ √
-
修订记录 时间 修订记录 2024-06-30 第四次正式发布。 本次变更说明如下: 更新“功能概览”章节。 “权限管理”章节补充账号管理服务(AccountManagement)的系统权限相关内容。 2024-03-14 第三次正式发布。 本次变更说明如下: 组织(Organizations)云服务正式商用。 更新“约束与限制”章节。 2023-03-30 第二次正式发布。 本次变更说明如下: 上线标签策略特性相关内容。 2022-09-30 第一次正式发布。
-
通过委托登录创建的账号 鼠标移动至右上方的用户名,选择“切换角色”。 图3 切换角色 在“切换角色”页面中,输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后,系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中,也会出现以cbc_开头的委托名称,该委托主要用于企业主账号对企业费用的统一管理,对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”,切换至创建的新账号中。
-
创建账号 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击组织结构树上方的“添加”,单击“添加账号”。 图1 添加账号 在弹窗中,选择“创建新账号”。 输入账号名称和手机号。注意,创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名,可以保持默认,或者进行自定义修改。 图2 新建账号 (可选)为账号添加标签。 标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Value_0001 单击“确定”,创建成功的账号将会显示在列表中。
-
支持SCP的区域 当前支持使用SCP的区域如下表所示: 支持SCP的区域与支持IAM身份策略的区域相同。 表1 支持SCP的区域 区 域名 称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二 cn-east-2 中国-香港 ap-southeast-1 华北-北京一 cn-north-1 华北-北京四 cn-north-4 华南-广州 cn-south-1 华南-广州-友好用户环境 cn-south-4 华北-乌兰察布-汽车一 cn-north-11 华北-乌兰察布一 cn-north-9 西南-贵阳一 cn-southwest-2 华东-青岛 cn-east-5 土耳其-伊斯坦布尔 tr-west-1 非洲-约翰内斯堡 af-south-1 拉美-墨西哥城一 na-mexico-1 拉美-墨西哥城二 la-north-2 拉美-圣保罗一 sa-brazil-1 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 父主题: 服务控制策略管理
-
条件(Condition) 条件键(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如ecs:)仅适用于对应服务的操作,详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个 VPC终端节点 发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 E CS 定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ECS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ecs:imageID string 多值 根据请求参数中指定的镜像ID过滤访问。
-
条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cce:)仅适用于对应服务的操作,详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 CCE定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CCE支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cce:ClusterId string 单值 按照在请求中传递的集群ID筛选访问权限。 cce:nodeTransferSourceCluster string 单值 按照节点迁移的源集群ID筛选访问权限。 cce:nodeTransferTargetCluster string 单值 按照节点迁移的目的集群ID筛选访问权限。
-
支持标签策略的区域 当前支持使用标签策略的区域如下表所示: 表1 支持标签策略的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二 cn-east-2 中国-香港 ap-southeast-1 华北-北京一 cn-north-1 华北-北京四 cn-north-4 华南-广州 cn-south-1 华南-广州-友好用户环境 cn-south-4 华北-乌兰察布-汽车一 cn-north-11 华北-乌兰察布一 cn-north-9 西南-贵阳一 cn-southwest-2 华东-青岛 cn-east-5 土耳其-伊斯坦布尔 tr-west-1 非洲-约翰内斯堡 af-south-1 拉美-墨西哥城一 na-mexico-1 拉美-墨西哥城二 la-north-2 拉美-圣保罗一 sa-brazil-1 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 父主题: 标签策略管理
-
运算符 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,策略才能生效。运算符可以增加后缀“IfExists”,表示对应请求值为空或满足条件的请求值均使策略生效,如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。运算符为字符串型运算符,表格中如未增加说明,不区分大小写。 String类型 表3 String类型运算符 类型 运算符 说明 String StringEquals 请求值与任意一个条件值相同(区分大小写)。 StringNotEquals 请求值与所有条件值都不同(区分大小写)。 StringEqualsIgnoreCase 请求值与任意一个条件值相同。 StringNotEqualsIgnoreCase 请求值与所有条件值都不同。 StringMatch 请求值符合任意一个条件值的正则表达式(区分大小写,正则表达式仅支持*和?)。 StringNotMatch 请求值不符合所有条件值的正则表达式(区分大小写,正则表达式仅支持*和?)。 示例:禁止用户名为ZhangSan的请求者删除和修改资源共享实例。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete", "ram:resourceShares:update" ], "Condition": { "StringEquals": { "g:DomainName": [ "ZhangSan" ] } } } ] } Number类型 表4 Number类型运算符 类型 运算符 说明 Number NumberEquals 请求值等于任意一个条件值。 NumberNotEquals 请求值不等于所有条件值。 NumberLessThan 请求值小于任意一个条件值。 NumberLessThanEquals 请求值小于或等于任意一个条件值。 NumberGreaterThan 请求值大于任意一个条件值。 NumberGreaterThanEquals 请求值大于或等于任意一个条件值。 Date类型 表5 Date类型运算符 类型 运算符 说明 Date DateLessThan 请求值早于任意一个条件值。 DateLessThanEquals 请求值早于或等于任意一个条件值。 DateGreaterThan 请求值晚于任意一个条件值。 DateGreaterThanEquals 请求值晚于或等于任意一个条件值。 示例:请求者禁止在2022年8月1日前访问 RAM 服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:*:*" ], "Condition": { "DateLessThan": { "g:CurrentTime": [ "2022-08-01T00:00:00Z" ] } } } ] } Bool类型 表6 Bool类型运算符 类型 运算符 说明 Bool Bool 条件值可选值:true、false。请求值等于条件值。 Null类型 表7 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值:true、false。条件值为true,要求请求值不存在或者值为null;条件值为false,要求请求值必须存在且值不为null。 IP类型 表8 IP类型运算符 类型 运算符 说明 IP IpAddress 指定IP地址或者IP范围。 NotIpAddress 指定IP地址或者IP范围之外的所有IP地址。 示例:拒绝IP地址在10.27.128.0到10.27.128.255范围内的请求修改指定的永久访问密钥。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "iam:credentials:updateCredentialV5" ], "Condition": { "IpAddress": { "g:SourceIp": [ "10.27.128.0/24" ] } } } ] } “IfExists”运算符后缀 除Null运算符以外,您可以在任何条件运算符名称的末尾添加IfExists,例如:StringEqualsIfExists。如果请求的内容中存在条件键,则依照策略所述来进行匹配。如果该键不存在,则该条件元素的匹配结果将为true。
-
策略参数 策略参数包含Version和Statement两部分,下面介绍策略参数详细说明。 表1 策略参数说明 参数 是否必选 含义 值 Version 必选 策略的版本。 5.0(不可自定义) Statement: 策略的授权语句 Statement Sid 可选 策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect:作用 必选 定义Action中的操作权限是否允许执行。 Allow:允许执行。 Deny:不允许执行。 说明: 当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 当Effect为Allow时,不能有Condition元素。 Action:授权项 Allow时必选。 Deny时与NotAction二选一。 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*,通配符号*表示所有。 参数中的通配符*和?只能单独使用或放在字符串结尾处。它不能出现在字符串的开头或中间部分。 例如"obs:bucket:ListAllMybuckets":表示查看OBS桶列表权限,其中obs为服务名,bucket为资源类型,ListAllMybuckets为操作。 NotAction Allow时不可选。 Deny时与Action二选一。 Deny时,NotAction列出的操作或服务不受当前策略影响,即除了NotAction列表中的操作之外,其他操作deny。 格式同Action。 Condition:条件 Allow时不可选。 使策略生效的特定条件,包括条件键和运算符。 格式为“条件运算符:{条件键:[条件值1,条件值2]}”。 如果您设置多个条件,同时满足所有条件时,该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}:表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Resource:资源类型 可选 未指定时,Resource默认为“*”,策略应用到所有资源。 策略所作用的资源。 Allow时,只能为“*”。 Deny时,可选择“*”或具体资源,格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*,通配符号*表示所有。 示例: "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。 SCP中不支持以下元素: Principal NotPrincipal NotResource
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
