检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
中使用通配符号*,表示SCP将应用到所有资源。 条件(Condition) CodeartsPipeline服务不支持在SCP中的条件键中配置服务级的条件键。CodeartsPipeline可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 开发与运维
region:domainId:资源类型:资源路径”, 资源类型支持通配符号*,通配符号*表示所有。 示例:"ecs:*:*:instance:*":表示所有的ECS实例。 SCP中不支持以下元素: Principal NotPrincipal NotResource 条件键
授予获取指定参数模板参数的权限。 read - - rds:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance g:EnterpriseProjectId g:ResourceTag/<tag-key> rds:log:getErrorLogs
的难度,推荐使用。 SDK列表 表1提供了Organizations服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java
g:EnterpriseProjectId gaussdbformysql:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:addReadOnlyNodes
授予查询身份提供商OIDC配置的权限。 read - - iam:identityProviders:getOpenIDConnectConfig iam:identityProviders:createOIDCConfig 授予创建身份提供商OIDC配置的权限。 write - -
n>:<account-id>:<type-name>:<resource-path> service-name:云服务简称,小写,例如ecs。填入的云服务简称必须存在,无法使用通配。 region:资源所在的区域,例如cn-north-1。如果是全局服务的资源,填空或者用*填充。
全球加速服务 GA Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号
CP的Resource元素中使用通配符号*,表示SCP将应用到所有资源。 条件(Condition) BSS服务不支持在SCP中的条件键中配置服务级的条件键。BSS可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 用户服务
网络 虚拟私有云 VPC 弹性公网IP EIP NAT网关 NAT 弹性负载均衡 ELB VPC终端节点 VPCEP 云专线 DC 企业路由器 ER 全球加速服务 GA 云连接 CC 父主题: SCP授权参考
修改和删除SCP 本章为您介绍如何修改和删除已创建的自定义SCP。 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。
d>:connectGateway:<connectGateway-id> 条件(Condition) DC服务不支持在SCP中的条件键中配置服务级的条件键。DC可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 网络
创建标签策略 当您需要对组织中的标签进行标准化管理时,可以通过创建标签策略来制定标签创建的规则。 只有组织管理员才可以创建标签策略,委托管理员无法执行此操作。 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略页面。
创建SCP 本章为您介绍如何创建自定义SCP,SCP常用示例请参见:SCP示例。 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。
使用SCP控制成员账号的权限 操作场景 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或O
eip:<region>:<account-id>:geipSegment:<geipSegment-id> 条件(Condition) EIP服务不支持在SCP中的条件键中配置服务级的条件键。EIP可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 网络
vpc:<region>:<account-id>:subnet:<subnet-id> 条件(Condition) NAT服务不支持在SCP中的条件键中配置服务级的条件键。NAT可以使用适用于所有服务的全局条件键,请参考请参考全局条件键。 父主题: 网络
云连接 CC SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。
able:<workspace-id>/<table-id> 条件(Condition) SecMaster服务不支持在SCP中的条件键中配置服务级的条件键。SecMaster可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 安全与合规