检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IpRule:<white-black-ip-rule-id> 条件(Condition) AAD服务不支持在SCP策略中的条件键中配置服务级的条件键。 AAD可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: DDoS防护 AAD
repositoryAuth-id> 条件(Condition) ServiceStage服务不支持在SCP中的条件键中配置服务级的条件键。 ServiceStage可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 开发与运维
pdate 授予更新云日志服务配置权限。 write - - anti-ddos:logConfig:get 授予查询云日志服务配置权限。 read - - anti-ddos:ip:updateDefensePolicy 授予更新Anti-DDoS服务权限。 write ip *
授予权限以在控制台查询项目管理服务资源用量。 read - - codearts:codehub:viewUsage 授予权限以在控制台查询代码托管服务资源用量。 read - - codearts:cloudbuild:viewUsage 授予权限以在控制台查询编译构建服务资源用量。 read
值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如iam:)仅适用于对应服务的操作,详情请参见表4。 单值/多值
cnad::<account-id>:package:<package-id> 条件(Condition) CNAD服务不支持在SCP策略中的条件键中配置服务级的条件键。 CNAD可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: DDoS防护 AAD
cdn::<account-id>:domain:<domain-name> 条件(Condition) CDN服务不支持在SCP中的条件键中配置服务级的条件键。CDN可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: CDN与智能边缘
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
PI的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力。可信服务及其相关能力的具体详情,请参考已对接组织的可信服务。 表1 Organizations云服务功能概览 功能 功能描述 参考链接
指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”,在弹窗中阅读并勾选确认标签策略存在的风险说明,然后选择资源类型,单击“确定”。 如未指定任何服务和资源类型,则此标签策略不会对任何资源生效。 图3 指定策略生效的资源类型 单击“添加标签键”,可在策略内容中添加多个标签键用于标签策略检查。
如果您需要对您所拥有的Organizations云服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Organizations云服务的其它功能。 默
我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。 图2
组织内可创建服务控制策略的数量 1000个 无 服务控制策略的长度 5120字符 无 组织内可创建标签策略的数量 1000个 无 标签策略的长度 10000字符 无 根、组织单元、账号、服务控制策略、标签策略上可附加的标签数量 20个 无 绑定在根、组织单元、账号上的服务控制策略的最大数量
查询有效的策略 功能介绍 查询指定策略类型和账号的有效策略信息。当前此接口不支持查询服务控制策略(service_control_policy)。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。 新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU上的服务控制策略和标
求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询所有服务的终端节点。 Organizations的终端节点如表1所示。Organizations是全局级服务,数据全局一份,在全局项目中存储,Organizations所有的API都可以使用全局服务的Endpoint调用。
本文介绍了Organizations服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了Organizations服务支持的SDK列表,您可以在G
发)等设置云上的行为边界,Organizations服务可以主动拦截不符合要求的行为,预防违规行为发生。 图3 使用策略管控各账号行为 提供多种企业级的治理能力 配置审计 Config等多个云服务与Organizations服务集成,为客户提供在同一资源架构下集中式的资源审计、操作审计、多业务共享资源等企业级能力。
被授予的权限对云服务进行操作。 Organizations服务为全局服务。授权时,“授权范围”需要选择“全局服务资源”。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权
创建账号 功能介绍 创建一个账号,生成的账号将自动成为调用此接口的账号所属组织的成员。此操作只能由组织的管理账号调用。组织云服务将在新账号中创建所需的服务关联委托和账号访问委托。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自