检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务的所有系统权限。 表1 Organizations服务系统权限 系统角色/策略名称 描述 类别 依赖关系 Organizations FullAccess 拥有该权限的用户可以执行Organizations服务支持的所有功能,包括创建、更改、删除、查询等操作。 系统策略 无 Organizations
展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess”,解绑操作
entials/{access_key} iam::getAccessKey - PUT /v3.0/OS-CREDENTIAL/credentials/{access_key} iam::updateAccessKey - DELETE /v3.0/OS-CREDENTIAL/
图1 添加账号 在弹窗中,选择“创建新账号”。 输入账号名称和手机号,账号描述根据需要选择输入。注意,创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名,可以保持默认,或者进行自定义修改。 图2 新建账号 (可选)为账号添加标签。 标签以键值对的形式表示,用于标识账号,便于
授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除O
成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。仅Organizations服务本身可以承担此委托,该委托具有允许Organizations为其他云服务创建服务关联委托的权限。
略中必须包含允许“organizations:folders:get”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
s云服务权限,并结合实际需求进行选择,Organizations云服务支持的系统权限,请参见:权限管理。 若您需要对除Organizations云服务之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权
source-instances/count ram:resourceShares:searchResourceShareCountByTag - POST /v1/shared-resources/search ram:sharedResources:search - POST
endpointServices * - vpcep:endpointServices:listPermissions 授予权限查询终端节点服务的白名单列表。 list endpointServices * - vpcep:endpointServices:updatePermissions
/v3/{project_id}/instances/{instance_id}/ssl rds:instance:modifySSL - POST /v3/{project_id}/instances/{instance_id}/action rds:instance:modifyForceSwitch - PUT
dds:instance:listAll - DELETE /v3/{project_id}/instances/{instance_id} dds:instance:delete - POST /v3/{project_id}/instances/{instance_id}/restart dds:instance:restart
-services/enable organizations:trustedServices:enable - POST /v1/organizations/trusted-services/disable organizations:trustedServices:disable
sfsturbo:shares:getQuota 授予查询弹性文件系统配额的权限。 read - - sfsturbo:shares:getFlavors 授予查询弹性文件系统规格的权限。 read - - sfsturbo:shares:checkShareName 授予检查弹性文件系统名称的权限。 read - -
认证鉴权 调用接口支持使用AK/SK认证,通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。 AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内,12MB以上的请求请使用Token认证。 AK/SK既可以使用永久访问密
ervers/{server_id}/os-interface ecs:cloudServers:listServerInterfaces - GET /v1/{project_id}/cloudservers/{server_id}/os-resetpwd-flag ecs:c
授予查询堡垒机规格的权限。 List - - - cbh:instance:listInstances 授予查询堡垒机列表的权限。 List instance * - - cbh:instance:getInstanceStatus 授予查询堡垒机状态的权限。 Read instance * g:EnterpriseProjectId
/v2/{project_id}/instances/status dcs:instance:list - PUT /v2/{project_id}/instances/status dcs:instance:modifyStatus - GET /v2/{project_id}/instances/statistic
创建数据库实例 POST /v3/{project_id}/instances gaussdb:instance:createInstance - 扩容数据库实例的磁盘空间 POST /v3/{project_id}/instances/{instance_id}/action gaussdb:instance:extend
-resources rms:resources:list - GET /v1/resource-manager/domains/{domain_id}/provider/{provider}/type/{type}/resources rms:resources:list - POST
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
