检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
企业拥有多个华为云账号,企业希望能够集中管理多个账号及账号中的资源。Organizations服务能够将多个分散的华为云账号,纳入到Organizations构建的组织中,实现对账号和资源的集中管理。 图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或
限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,限制账号内用户的操作。IAM策略则是直接对IAM用户、IAM用户组、IAM委托进行授权。
标签概述 标签简介 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签: 组织的根 组织单元(Organizational Unit,以下简称OU) 账号 服务控制策略(Service Control Policy,以下简称SCP) 标签策略 您可以在以下时间添加标签:
本节将介绍使用华为云账号作为管理账号来创建组织。创建组织之后,您可以通过邀请现有账号或创建账号的方式向您的组织添加账号,可以通过创建OU来为您的组织添加OU实现账号的结构化管理。 前提条件 当前账号没有加入组织。已经加入组织的账号,不能创建组织,请退出已加入的组织后再进行创建组织操作,退出组织操作步骤请参见成员账号退出组织。
部权限(FullAccess策略),默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。 显式拒绝和隐式拒绝的区别 Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时,默认情
在弹框中选择步骤1中确定的策略,单击“绑定”,完成策略绑定。此时您可以在“财务部”OU的服务控制策略列表中查看到已绑定的策略。 测试SCP 本节对SCP的权限管控效果进行验证。 以财务部下属账号Account x的身份登录华为云,进入配置审计Config控制台。 尝试修改或删除合规规则,页面报错,SCP生效。
A公司希望使用Company A作为管理账号,对下属部门的账号进行管理。管理诉求有: 对标公司组织架构,对下属账号进行分组,进行结构化管理。 实现账号的权限管理,比如只有研发部下的成员账号可以使用“配置审计Config”添加和删除资源合规规则。
授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise
启用与组织共享资源 云审计(CTS) 云审计服务支持基于组织配置组织追踪器功能,组织管理员或CTS服务的委托管理员可以配置组织追踪器作用于整个组织,实现多账号安全审计等云审计能力。 是 组织追踪器 应用运维管理服务(AOM) 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。
管理账号可以在组织中,启用或禁用某个云服务为可信服务,并设置成员账号为可信服务委托管理员。 可信服务 标签管理 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。支持添加标签的组织资源包括:组织的根、组织单元(OU)、账号、服务控制策略(SCP) 标签管理
"Resource": [ "*" ] } ] } 但是,您可以通过使用正确的策略语法来实现上面示例的意图,将两个数据块合并到单个Statement元素中,而不是包含两个完整的策略对象(每个都有自己的Statement元素)。St
取消邀请 功能介绍 取消邀请,此时邀请状态将设置为已取消。此接口只能由发起邀请的账号调用。取消邀请后,此邀请信息将继续保留并出现在相关API的返回结果中,保留期限为30天。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成
列出收到的邀请 功能介绍 列出账号收到的所有邀请。此操作可以由任何账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET https://{endpoin
查询邀请相关信息 功能介绍 查询组织中已有账号邀请的相关信息。此接口可以由组织中的任何账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET https:
拒绝邀请 功能介绍 拒绝邀请请求。受邀账号拒绝邀请,此时当前邀请状态将设置为拒绝,邀请停止。此接口只能由受邀账号调用。邀请发起者无法再次激活被拒绝的邀请,但可以重新发送新的邀请。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自
接受邀请 功能介绍 向邀请的发起方发送应答,接受加入组织邀请。在您接受邀请后,此邀请信息将继续保留并出现在相关API的返回结果中,保留期限为30天。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
查询账号信息 功能介绍 查询有关指定账号的信息。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET
更新账号信息 功能介绍 更新指定的账号信息。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI PATCH https://{endpo
列出组织中的账号 功能介绍 列出组织中的账号。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。如果指定父级组织单元,则将获得作为父级直系子级的所有账号的列表。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成
列出发送的邀请 功能介绍 列出所属组织发送的邀请。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
