检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图1 给用户授予Organizations权限流程 创建用户组并授权 在IAM控制台创建用户组,授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限
用户服务 费用中心 成本中心 账号中心 企业中心 消息中心 客户运营能力 父主题: SCP授权参考
名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同,需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项
号,但是策略本身不会被删除。 若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管
P允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能授予操作B的权限,即便授予了操作B的权限,也无法生效。
阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改 阻止IAM用户和委托进行某些修改,但指定的账号除外
容器 云容器引擎 CCE 容器镜像服务 SWR 父主题: SCP授权参考
如果此列条件键没有值(-),表示此操作不支持指定条件键。 关于IAM Access Analyzer定义的条件键的详细信息请参见条件(Condition)。 您可以在SCP语句的Action元素中指定以下IAM Access Analyzer的相关操作。 表1 IAM Access Analyzer支持的授权项 授权项
8 全球加速服务(GA) 全球加速服务 GA 9 云连接(CC) 云连接 CC 容器 序号 服务名称 相关文档 1 云容器引擎(CCE) 云容器引擎 CCE 2 容器镜像服务(SWR) 容器镜像服务 SWR 大数据 序号 服务名称 相关文档 1 数据湖探索(DLI) 数据湖探索 DLI
如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创建一条拒绝删除OU、成员账号的自定义策略,然后同时将OrganizationsFullAccess和拒绝策略授予用户,根据Deny优先
izations控制台,进入组织管理页面。 在组织结构树中选中父OU的名称(而不是展开框)。如您是首次创建OU,则需选中根OU的名称(即Root)。 OU最深可嵌套5层,一个OU只能有一个父OU,一个OU下可以关联多个子OU。父OU即为上一层的OU,创建OU时请确保选中正确的父OU。
授予查看集群详情列表的权限。 list cluster * - cce:cluster:getCluster 授予查看用户指定集群详情的权限。 read cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId cce:cluster:getEndpoints
detachPolicy 添加标签 Account OrganizationUnit Policy Root Tag tagResource 删除标签 Account OrganizationUnit Policy Root Tag untagResource 父主题: 使用CTS审计组织操作事件
Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理 AOM 云监控服务 CES 父主题: SCP授权参考
d>:organization:<organization-id> root organizations::<management-account-id>:root:<organization-id>/<root-id> account organizations::<manag
*。 如果解绑Root的“FullAccess”策略,则整个组织内所有账号的可操作性权限都将失效。此操作风险极高,需谨慎操作。 如果解绑OU的“FullAccess”策略,则该OU(包含下级OU)内账号的可操作权限都将失效。 如果解绑成员账号的“FullAccess”策略,则该账号的可操作权限将失效。
组织管理 组织概述 创建组织 查看组织详细信息 删除组织
中心网络(centralNetwork) 云连接(cloudConnection) 云容器引擎(CCE) 集群(cluster) 云容器实例 CCI 命名空间(namespace) 内容分发网络(CDN) 域名(domain) 云监控服务(CES) 告警规则(alarm) 云防火墙(CFW)
企业路由器 ER Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予
条件(Condition) 企业中心不支持在SCP中的条件键中配置服务级的条件键。企业中心可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 用户服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
