检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 如果您要
在根中启用策略类型 功能介绍 在根中启用策略类型。在根中启用策略类型后,您可以将该类型的策略绑定到根、或该根中的任何组织单元和账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。 调试 您可以在API Explo
组织单元或账号绑定的SCP包括两部分,直接绑定的策略和继承的策略。某组织单元绑定的SCP,会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界,由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示,Account y隶属于OU3,Account y的权限边界是由继承自Root,OU1和OU3的SCP与Account
anti-ddos:ip:listTagsForResource 授予查询资源标签列表权限。 list ip * - anti-ddos:ip:listDefenseStatuses 授予查询EIP防护状态列表权限。 list ip * - anti-ddos:ip:getWeeklyReport
te-nat/transit-ips/{transit_ip_id} nat:privateNatTransitIps:delete - GET /v3/{project_id}/private-nat/transit-ips/{transit_ip_id} nat:privateNatTransitIps:get
cnad:protectedIp:create 授予绑定防护IP到实例的权限。 write - - cnad:protectedIp:list 授予查询防护IP列表的权限。 list - - cnad:protectedIpDropList:list 授予查询防护IP下拉列表的权限。 list
read privateIp * vpc:PrivateIpId vpc:SubnetId vpc:privateIps:list 授予查询私有IP列表权限。 list privateIp * - vpc:privateIps:delete 授予删除私有IP权限。 write privateIp
d elb:ipgroups:list 授予查询IP地址组列表的权限。 list ipgroup * - - g:EnterpriseProjectId elb:ipgroups:show 授予获取IP地址组详情的权限。 read ipgroup * - elb:ipgroups:create
vpc:ports:update eip:publicIps:get eip:publicIps:list eip:publicIps:create eip:publicIps:associateInstance eip:publicIps:delete eip:publicIps:createTags
rn}/subscriptions/{subscription_urn} smn:topic:updateSubscription - DELETE /v2/{project_id}/notifications/subscriptions/{subscription_urn} s
_id}/eip/bind cbh:instance:bindInstanceEip eip:publicIps:list eip:publicIps:update POST /v2/{project_id}/cbs/instance/{server_id}/eip/unbind
tResource - POST /v1/shared-principals/search-distinct-principal ram:sharedPrincipals:searchDistinctPrincipal - GET /v1/resource-shares/quotas
secmaster:pipe:list 授予权限查询数据管道列表。 list pipe * - secmaster:pipe:create 授予权限创建数据管道。 write pipe * - secmaster:pipe:get 授予权限查询数据管道详情。 read pipe * - s
bership:describe 授予查询绑定关系详情的权限。 read - - IdentityCenter:groupMembership:delete 授予解绑用户和用户组的权限。 write - - IdentityCenter:groupMembership:getGroupMembershipId
policy attachment. 策略绑定关系不存在 请检查该策略的绑定关系。 404 Organizations.1602 Not found for policy attachment entity. 策略需要绑定的实体不存在 请检查该策略需要绑定的实体是否存在。 409 Organizations
instance * g:EnterpriseProjectId gaussdbformysql:instance:bindPublicIp 授予实例绑定公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:inst
授予查询实例可迁移的可用区列表的权限。 list - - dds:instance:updateIp 授予修改内网IP地址的权限。 write instance - dds:instance:bindEIP 授予绑定弹性公网IP的权限。 write - - dds:instance:resetPassword
ecs:cloudServers:createServers eip:publicIps:create eip:publicIps:associateInstance iam:agencies:pass eip:bandwidths:insertPublicIps POST /v1/{project_id}/cloudservers
SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。
servicestage:pipeline:get 授予用户查看流水线权限 read pipeline - servicestage:pipeline:create 授予用户创建流水线权限 write pipeline - servicestage:pipeline:modify 授予用户更新流水线权限
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
