检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
izations服务的相关功能,如何充值请参见账户充值。 步骤一:启用并创建SCP 例如您希望组织内的某一成员账号无法删除RAM服务的资源共享实例,可以参考如下示例创建SCP。 如下步骤仅针对示例中的关键参数进行设置和介绍,其他参数保存默认,更多SCP的详细信息请参见创建SCP。
授予共享版仓库删除共享账号的权限。 Permission_management repo * - swr:repo:listRepoDomains 授予共享版仓库获取共享账号列表的权限。 List repo * - swr:repo:getRepoDomain 授予共享版仓库判断共享账号是否存在的权限。
rocess 授予权限以查询应用进程白名单策略的进程列表。 list - g:EnterpriseProjectId hss:ars:changeAppWhitelistPolicyProcessStatus 授予权限以修改应用进程白名单策略的进程可信状态。 write - g:EnterpriseProjectId
本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改 阻
授予根据标签查询资源共享数量的权限。 read - g:TagKeys ram:sharedResources:search 授予列出您添加到资源共享的资源或与您共享的资源的权限。 list - - ram:sharedPrincipals:search 授予列出您与之共享资源或与您共享了资源的委托人的权限。
用户通过管理控制台对云服务发起请求时,其CalledVia中将包含service.console。 示例:表示不允许通过管理控制台发起的请求调用RAM服务的查询资源共享接口。 { "Version": "5.0", "Statement": [{ "Effect": "Deny", "Action":
sfsturbo:shares:addTag 授予创建弹性文件系统共享标签的权限。 tagging shares * g:ResourceTag/<tag-key> g:TagKeys sfsturbo:shares:getTag 授予查询弹性文件系统共享标签的权限。 read shares *
通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region
ims:images:listOsVersion 查看所有镜像支持的OS列表权限。 list - - ims:images:getJob 查询异步任务进度。 read - - ims:images:import 镜像导入。 write - g:EnterpriseProjectId g:RequestTag/<tag-key>
组织合规规则包 资源聚合器 资源访问管理(RAM) 资源访问管理服务支持基于组织共享资源能力,当您的账号由组织管理时,您可以与组织内的所有账号共享资源,组织内账号无需接受邀请即可使用共享资源。 是 启用与组织共享资源 云审计(CTS) 云审计服务支持基于组织配置组织追踪器功能,组织管理
g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:service:listJobDetail 授予查看任务进度详情权限。 list - - dws:service:listStatistics 授予查看当前可用资源数量权限。 list - - dw
instance * ecs:FlavorId - ecs:cloudServers:attachSharedVolume 授予批量挂载指定共享盘的权限。 write instance * evs:Encrypted ecs:KmsKeyId ecs:VolumeId evs:Encrypted
PublicIps 授予共享带宽插入弹性公网IP的权限。 write bandwidth * g:ResourceTag/<tag-key> g:EnterpriseProjectId eip:bandwidths:removePublicIps 授予共享带宽移除弹性公网IP的权限。
提供多种企业级的治理能力 配置审计 Config等多个云服务与Organizations服务集成,为客户提供在同一资源架构下集中式的资源审计、操作审计、多业务共享资源等企业级能力。 图4 提供企业级治理能力
apig:instances:update apig:instance:getCreateProgress 授予权限以获取专享版实例的创建进度。 read instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId - api
g:EnterpriseProjectId g:ResourceTag/<tag-key> drs:migrationJob:getAggregationTable 授予查询内存中多表映射信息的权限。 list job g:EnterpriseProjectId g:ResourceTag/<tag-key> dr
workspace:storage:updateShareFolderAssignment 授予修改共享目录成员的权限。 write storage * - workspace:storage:createShareFolder 授予创建共享存储目录的权限。 write storage * - workspac
write server g:EnterpriseProjectId sms:server:updateTaskProgress 授予上报数据迁移进度和速率权限 write server g:EnterpriseProjectId sms:server:unlock 授予解锁指定任务的目的端服务器权限
服务级条件键 类型 单值/多值 说明 cbh:VpcId string 单值 根据堡垒机实例通信的VPCID开启过滤访问。 cbh:SubnetId string 单值 根据堡垒机实例通信的子网ID开启过滤访问。 cbh:AllowBindPublicIp boolean 单值
账号(account) 组织单元(ou) 策略(policy) 根(root) 私有证书管理服务(PCA) 私有CA(ca) 资源访问管理(RAM) 资源共享实例(resourceShare) 云数据库(RDS) 实例 (instances) 配置审计(Config)(原 资源管理服务 RMS)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
