组织 ORGANIZATIONS-应用Organizations云服务对多账号进行管理:绑定服务控制策略(SCP)
绑定服务控制策略(SCP)
现在您已搭建好了组织结构,并已邀请账号加入,在本节将介绍如何使用服务控制策略(Service Control Policy,以下简称SCP)管理组织中账号的权限。例如只有研发部下属的账号可以修改和删除资源合规规则,其余账号如财务部账号无法进行这些操作。目前支持SCP的服务请参见支持SCP的云服务。
- 确定所需策略。
查看SCP系统策略列表,查找到需要设置的权限(若无匹配策略,可选择自定义策略)。此处使用自定义策略进行权限管控,策略语法请参考SCP语法介绍。
策略内容如下:
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ] }
- 以管理账号Company A的身份登录华为云,进入Organizations控制台。
- 在组织管理列表中,选中要绑定策略的OU,当前场景为禁止财务部修改和删除合规规则,所以SCP的绑定对象为“财务部”。
- 在“财务部”的组织单元信息页,选择“策略”页签。
- 单击服务控制策略前方的,单击“绑定”按钮。
图10 绑定SCP
- 在弹框中选择步骤1中确定的策略,单击“绑定”,完成策略绑定。此时您可以在“财务部”OU的服务控制策略列表中查看到已绑定的策略。