检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IoT物联网 设备接入 IoTDA 父主题: SCP授权参考
约束与限制 使用约束 使用Organizations云服务之前,需要先开启企业中心服务。 只能使用企业中心的主账号创建组织。 组织的管理账号无法邀请与自身不同类型的账号加入组织。例如中国站的组织管理账号无法邀请国际站账号,国际站的组织管理账号也无法邀请中国站账号。 功能规格 表1
支持标签策略的区域 当前支持使用标签策略的区域如下表所示: 表1 支持标签策略的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二
支持SCP的区域 当前支持使用SCP的区域如下表所示: 支持SCP的区域与支持IAM身份策略的区域相同。 表1 支持SCP的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一
iotda:MongoDBForwardingEnableSSL 布尔型 单值 根据创建/修改规则动作时设置的MongoDB通道开启TLS协议的配置过滤请求 父主题: IoT物联网
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个组织单元、邀请多少成员账号等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。
单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。 “项目”列的内容即为所属区域对应的ID。 图4 查看区域ID 获取委托名称和ID 登录华为云,进入IAM控制台,选择“委托”页签。 鼠标移
(Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该策略影响。如何管理SCP请参见服务控制策略介绍。
01 了解 了解Organizations服务的应用场景、功能概览、约束与限制和基本概念等,有助于您更系统和准确地使用Organizations。 产品介绍 什么是组织云服务 应用场景 功能概览 约束与限制 基本概念 权限管理 03 使用 您可以使用Organizations创建
限将失效。 不受SCP限制的任务 您无法使用SCP来限制以下任务: 组织管理账号及其IAM用户执行的任何操作。 使用服务关联委托执行的任何操作。 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求,将不受SCP限制。当前支持SCP的云服务和区域请参见:支持SCP的云服务和支持SCP的区域。
instance bms:<region>:<account-id>:instance:<server-id> <region>:指定授权的区域,,表示授权在此区域进行相关操作。 <account-id>:指定授权的用户账号ID,表示授权在此账号ID下进行相关操作。请在API凭证中获取账号ID。
附录 状态码 错误码 获取账号、IAM用户、项目、用户组、区域、委托的名称和ID
控制的安全依赖。 g:RequestedRegion 字符串 指请求的目标区域(Region)。请求的目标云服务是区域级服务时,设置为对应的区域ID以进行控制,例如cn-north-4。仅在请求为部分区域级服务时,此条件键存在。 g:RequestTag/<tag-key> 字符串
AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中
String 单值 限制虚拟机使用的VPC ID。 as:VpcSubnetId String 多值 限制虚拟机使用的子网 ID。 as:ElbPoolId String 多值 限制虚拟机加入的ELB后端服务器组ID。 as:MaxInstanceSize Integer 单值 限制伸缩组的最大实例数。
ID进行权限控制。 swr:EnablePublicNameSpace boolean 单值 限制企业仓库是否允许创公开组织。 swr:EnableObsEncrypt boolean 单值 限制企业版实例是否必须使用加密桶。 swr:AllowPublicAccess boolean
ims:TargetOrgPaths ims:images:copyInRegion 区域内复制已经存在镜像。 write image * ims:Encrypted ims:images:copyCrossRegion 跨区域复制已经存在镜像。 write image * g:ResourceTag/<tag-key>
] } 禁止访问指定区域的资源 如下SCP表示禁止用户访问“regionid1”区域的ECS服务的全部资源。您可以根据需要修改SCP语句中的操作(Action)、资源类型(Resource)和条件(Condition)。 此SCP仅适用于区域级服务,SCP中的“regio
云堡垒机 CBH 12 数据库安全服务(DBSS) 数据库安全服务 DBSS 13 Web应用防火墙(WAF) Web应用防火墙 WAF IoT物联网 序号 服务名称 相关文档 1 设备接入(IoTDA) 设备接入 IoTDA 应用中间件 序号 服务名称 相关文档 1 分布式缓存服务(DCS)
SCP授权参考 计算 存储 网络 容器 大数据 CDN与智能边缘 数据库 安全与合规 IoT物联网 应用中间件 开发与运维 企业应用 管理与监管 用户服务 迁移
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
