检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
service-name:云服务简称,小写,例如ecs。填入的云服务简称必须存在,无法使用通配。 region:资源所在的区域,例如cn-north-1。如果是全局服务的资源,填空或者用*填充。 account-id:账号ID。“system”表示系统公共资源,例如系统策略。 type
tances/{instance_id}/elastic_count/{ip_id} aad:instance:get - GET /v1/{project_id}/cad/instances/{data_center}/elastic/{line}/{ip_id} aad:instance:get
SCP原理介绍 SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。
企业中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
账号中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
ization-id>/<policy-type>/<policy-id> builtinpolicy organizations::system:policy:<policy-type>/<policy-id> 条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。
费用中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
成本中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
消息中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
GET/v1/{project_id}/sdg/server/relation/jobs/{job_id}/obs/{bucket_id}/files dsc:common:list - POST/v1/{project_id}/data/mask dsc:sensitiveData:mask
RAM定义了以下可以在SCP的Resource元素中使用的资源类型。 表3 RAM支持的资源类型 资源类型 URN permission ram::system:permission:<permission-id> resourceShare ram::<account-id>:resourc
客户运营能力 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作
创建标签策略 当您需要对组织中的标签进行标准化管理时,可以通过创建标签策略来制定标签创建的规则。 只有组织管理员才可以创建标签策略,委托管理员无法执行此操作。 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略页面。
tion/batchalter/prepaid-cloud-waf waf:prepaid:create - POST /v1/{project_id}/waf/subscription/purchase/prepaid-cloud-waf waf:prepaid:create -
string 单值 按照节点迁移的目的集群ID筛选访问权限。 cce:AssociatePublicIp string 单值 根据创建ECS是否涉及自动创建EIP操作筛选访问权限。如果要限制集群绑定或解绑EIP操作权限,则需要使用cce:cluster:eipBinding这个action进行管控。
write - g:EnterpriseProjectId cdn:configuration:queryQuota 授予权限查询当前用户域名、刷新文件、刷新目录和预热的配额。 list - - CDN的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。
创建SCP 本章为您介绍如何创建自定义SCP,SCP常用示例请参见:SCP示例。 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。
tadata 授予查询身份提供商SAML metadata文件的权限。 Read - - iam:identityProviders:createSAMLMetadata 授予创建身份提供商SAML metadata文件的权限。 Write - - iam:identityPro
修改和删除SCP 本章为您介绍如何修改和删除已创建的自定义SCP。 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。
绑定和解绑SCP 管理账号可以为根、OU和账号绑定和解绑SCP。 约束与限制 SCP不会影响组织管理账号及其IAM用户和委托,仅会影响组织内的成员账号。 策略完成绑定后将在30分钟内生效。 绑定SCP 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
