检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
resource_type}/{resource_id}/tags/delete { "tags" : [ { "key" : "keystring", "value" : "valuestring" } ] } 响应示例 无 状态码 状态码 描述 200 Successful
resource_type}/{resource_id}/tags/create { "tags" : [ { "key" : "keystring", "value" : "valuestring" } ] } 响应示例 无 状态码 状态码 描述 200 Successful
accessPolicies:delete - GET /v2/{project_id}/access-policy/{access_policy_id}/objects workspace:accessPolicies:getTarget - PUT /v2/{project_id
权限及授权项说明 如果您需要对您所拥有的Organizations云服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用
write peering * vpc:AccepterVpcId vpc:RequesterVpcId vpc:AccepterVpcOrgPath vpc:AccepterVpcOwner vpc * g:ResourceTag/<tag-key> vpc:VpcId vpc:
组织单元是账号的容器,使您能够对账号进行分组管理,并根据业务要求应用策略。此操作只能由组织的管理账号调用。 列出组织单元 列出组织中的所有组织单元。如果指定父级组织单元,则将获得父级直系子级的组织单元列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。
"status" : "enabled", "type" : "service_control_policy" } ], "created_at" : "2022-09-22T02:23:21Z" } } 状态码 状态码 描述 202 Successful
如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创建一条拒绝删除OU、成员账号的自定义策略,然后同时将OrganizationsFullAccess和拒绝策略授予用户
- GET /v3.0/OS-CREDENTIAL/credentials/{access_key} iam::getAccessKey - PUT /v3.0/OS-CREDENTIAL/credentials/{access_key} iam::updateAccessKey
write - - ces:namespacesDimensions:listAgentDimensions 授予查询指定实例下agent维度指标信息的权限。 list - - ces:namespacesDimensions:list 授予批量查询指定指标维度的权限。
list attackTask - coc:attackTarget:listCcePods 查询cce类型的攻击目标的pods列表的权限。 list - - coc:improvementTask:list 查询改进事项列表的权限。
表2 Organizations常用操作与系统权限的关系 操作 Organizations FullAccess Organizations ReadOnlyAccess 创建组织 √ x 查看组织 √ √ 关闭组织 √ x 创建OU √ x 修改OU √ x 查看OU详细信息 √
示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权 在IAM控制台创建用户组,授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。
管理与监管 消息通知服务 SMN 云日志服务 LTS 统一身份认证 IAM 安全令牌服务 STS 资源编排服务 RFS IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access
启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“启用”。
Account createAccount 关闭账号 Account closeAccount 更新账号 Account updateAccount 移动账号 Account moveAccount 移除账号 Account removeAccount 接受邀请 Handshake acceptHandshake
list - - ram:resourceShareInvitations:accept 授予接受指定资源共享接受的权限。
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
iotda:accesscode:create - POST /v5/iot/{project_id}/routing-rule/rules iotda:routingrules:create - GET /v5/iot/{project_id}/routing-rule/rules
read handshake * - organizations:handshakes:accept 授予接受邀请的权限。 write handshake * - organizations:handshakes:decline 授予拒绝邀请的权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
