检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
企业拥有多个华为云账号,企业希望能够集中管理多个账号及账号中的资源。Organizations服务能够将多个分散的华为云账号,纳入到Organizations构建的组织中,实现对账号和资源的集中管理。 图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或
企业应用 云解析服务 DNS 云桌面 Workspace 父主题: SCP授权参考
资源类型(Resource) 资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。
POST /v3/{project_id}/cas/applications servicestage:app:createApplication - GET /v3/{project_id}/cas/applications servicestage:app:listApplication
应用中间件 分布式缓存服务 DCS 微服务引擎 CSE API网关 APIG 父主题: SCP授权参考
资源类型(Resource) 资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。
则账号下的IAM用户、用户组、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,
授予删除指定接入策略的权限。 write - - workspace:accessPolicies:getTarget 授予查询指定接入策略的应用对象的权限。 read - - workspace:accessPolicies:updateTarget 授予更新指定接入策略的应用对象的权限。 write
SCP示例 本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
SCP的详细说明请参见SCP原理介绍和SCP语法介绍,其中包括策略语句中可使用的全局级条件键以及运算符的详细说明和示例。 目前支持SCP的服务请参见支持SCP的云服务,各云服务支持的授权项、资源类型和服务级条件键的详细说明请参见SCP授权参考。 常用的SCP示例请参见SCP示例。
apig:api:listBoundApp 授予权限以查看API已绑定的APP列表。 list instance * g:ResourceTag/<tag-key> apig:apis:listBindedApps apig:app:listUnboundApi 授予权限以查看APP未绑定的API列表。
下层进行计算,计算时根据子控制运算符的不同类型来判断生效,最终形成一个有效的标签策略;当上下层标签策略中的标签键不同时,上下层策略将直接合并为一个有效的标签策略。 本章为您介绍如何在控制台上查看绑定在组织的根、OU和账号上的有效标签策略。 操作步骤 进入华为云Organizations控制台,进入组织管理页面。
g:EnterpriseProjectId CCE的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /api/v3/projects/{project_id}/quotas
sByTag 授予通过标签查询引擎列表的权限 list - g:TagKeys CSE的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v2/{projec
资源类型(Resource) 资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。
支持标签策略的云服务 当前支持使用标签策略的云服务和资源类型如下表所示: 表1 支持标签策略的云服务和资源类型 服务名称 资源类型 DDoS原生基础防护服务(Anti-DDoS) 公网IP(ip) DDoS防护服务(AAD) 实例(instance) 应用运维管理(AOM) 告警规则(alarmRule)
资源类型(Resource) 资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。
支持SCP的云服务 当前支持使用SCP的云服务如下表所示: 支持SCP的云服务同时也支持IAM的身份策略。 计算 序号 服务名称 相关文档 1 弹性云服务器(ECS) 弹性云服务器 ECS 2 裸金属服务(BMS) 裸金属服务器 BMS 3 镜像服务(IMS) 镜像服务 IMS 4
objects 要附加到新创建的组织单元的标签列表。 表3 tags 参数 是否必选 参数类型 描述 key 是 string 标签键的密钥标识符或名称。 value 是 string 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数
云监控服务支持基于组织跨账号查看我的看板功能,组织管理员或CES服务的委托管理员可以查看其组织下所有账号的看板。 是 跨账号查看我的看板 云防火墙服务(CFW) 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,组织管理员或CFW服务的委托管理员可以对组织内所有成员账号的EIP进行统一的资产防护。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
