组织 ORGANIZATIONS-应用Organizations云服务对多账号进行管理:绑定服务控制策略(SCP)

时间:2024-11-22 16:31:03

绑定服务控制策略(SCP)

现在您已搭建好了组织结构,并已邀请账号加入,在本节将介绍如何使用服务控制策略(Service Control Policy,以下简称SCP)管理组织中账号的权限。例如只有研发部下属的账号可以修改和删除资源合规规则,其余账号如财务部账号无法进行这些操作。目前支持SCP的服务请参见支持SCP的云服务

  1. 确定所需策略。

    查看SCP系统策略列表,查找到需要设置的权限(若无匹配策略,可选择自定义策略)。此处使用自定义策略进行权限管控,策略语法请参考SCP语法介绍

    策略内容如下:

    {
      "Version": "5.0",
      "Statement": [
        {
          "Effect": "Deny",
          "Action": [
            "rms:policyAssignments:update",
            "rms:policyAssignments:delete"
          ],
          "Resource": [
            "*"
          ]
        }
      ]
    }

  2. 以管理账号Company A的身份登录华为云,进入Organizations控制台。
  3. 在组织管理列表中,选中要绑定策略的OU,当前场景为禁止财务部修改和删除合规规则,所以SCP的绑定对象为“财务部”。
  4. 在“财务部”的组织单元信息页,选择“策略”页签。
  5. 单击服务控制策略前方的,单击“绑定”按钮。

    图10 绑定SCP

  6. 在弹框中选择步骤1中确定的策略,单击“绑定”,完成策略绑定。此时您可以在“财务部”OU的服务控制策略列表中查看到已绑定的策略。
support.huaweicloud.com/qs-organizations/org_02_0014.html