检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
as::listTags 授予查询所有资源标签列表的权限。 list - - as::listTagsForResource 授予查询指定资源标签的权限。 list - g:EnterpriseProjectId as::listResourcesByTag 授予根据标签查询资源的权限。 list
本章将为您介绍如下内容: 添加标签,为已有的OU、账号、SCP和标签策略添加标签。 修改标签,修改OU、账号、SCP和标签策略的标签键值。 查看标签,查看OU、账号、SCP和标签策略的标签。 删除标签,删除OU、账号、SCP和标签策略的标签。 父主题: 标签管理
组织管理 组织概述 创建组织 查看组织详细信息 删除组织
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
标签策略管理 标签策略概述 标签策略语法 启用和禁用标签策略 创建标签策略 查看有效的标签策略 修改和删除标签策略 绑定和解绑标签策略 支持标签策略的云服务 支持标签策略的区域
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
eip:publicIps:list 授予查询弹性公网IP列表的权限。 list publicip * - - g:EnterpriseProjectId eip:publicIps:count 授予查询弹性公网IP数量的权限。 list publicip * - eip:publicIps:get 授予查询指定弹性公网IP的权限。
调用。 根据资源类型及标签信息查询实例列表 根据资源类型及标签信息查询实例列表。 根据资源类型及标签信息查询实例数量 根据资源类型及标签信息查询实例数量。 查询资源标签 查询指定资源类型的标签。 其他 表9 接口说明 接口 说明 查询有效的策略 查询指定策略类型和账号的有效策略信
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
tanceTag 授予权限以查询单个资源的资源标签。 read - - hss:quota:getResourceQuotas 授予权限以查询配额信息。 read - - hss:quota:getTmsResourceTagsInfo 授予权限以查询资源标签。 read - -
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
on)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
elb:flavors:show 授予查询指定规格的详情。 read flavor * - elb:flavors:list 授予查询规格详情列表的权限。 list flavor * - elb:quotas:list 授予查询配额列表的权限。 list - - elb:quotas:show 授予查询可以创建指定类型资源的最大数量的权限。
每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要查看组织单元信息,那么这个IAM用户被授予的策略中必须包含允许“organizations:folders:get”的授权项,该接口才能调用成功。
当组织单元和账号绑定多条SCP时,账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP,分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作,鉴权规则会优先遵从拒绝操作,即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时,默认会为所有OU和账号
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
iam:roles:list 授予查询权限列表的权限。 list - - iam:roles:listRoles iam:roles:get 授予查询权限详情的权限。 read - - iam:roles:getRole iam::listRoleAssignments 授予查询租户授权记录的权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
